去滲透測試時，幾乎都能遇到 XSS 的弱點，但要怎麼測試呢？
目前 Google 有工具可以做驗證了！
[CSP]https://csp-evaluator.withgoogle.com/

先前已經在[Day05]原始碼檢測x弱點修補X驗證攻擊-Cross site scripting 說明 XSS 的弱點了。

大概簡單描述一下：
XSS 是常見的網頁漏洞之一，要預防可在 HTTP Header 加入 Content Security Policies（CSP）。
Google 日前推出新工具，管理員可檢驗網站的 CSP 成效，確保不會因設定不當而失去保護。

Google 推出了 CSP Evaluator ，管理員把網址貼上便可檢驗 CSP 的成效；此外亦有 Chrome 瀏覽器插件 CSP Mitigator 。

[CSP]https://csp-evaluator.withgoogle.com/

XSS 一直是網站常見的漏洞，Google 稱，過去兩年他們已就研究人員回報 Google 網頁的 XSS 漏洞頒發 120 萬美元獎金。

使用 CSP 是預防 XSS 的方法之一，然而 Google 表示，10 億個域名之中 95% 的 CSP 未能有效預防 XSS。其中一個根本原因是，15 個最多人用作載入外部 script 而加入白名單的域名之中，有 14 個都可讓攻擊者繞過 CSP 。
//就是還是有弱點可以繞過的意思，但還是能擋掉較部份可疑的攻擊

資訊來源：https://security.googleblog.com/2016/09/reshaping-web-defenses-with-strict.html