WEB安全第八课 浏览器端脚本 之六 活死人：Visual Basic

        讲到这儿就差不多讲完与JavaScript有关的全部内容了，是时候请出在这场脚本争霸战里长时间被遗忘的另一位竞争者了。尽管在过去十几年来，客户端的VBScript几乎被大家完全拋在了脑后，但IE浏览器依然支持这门脚本语言。


        几乎在每个方面，微软这种脚本语言在功能上都与JavaScript大致无二，访问Document Object Model API的方式和其他内置函数也与JavaScript几乎一模一样。当然，在某种程度上，也有若干调整和扩展，例如，一些与VB特有的函数代替了JavaScript的内置函数。
        👨‍🎨‌🧣⚒😚👄
        对VBScript的安全性，解析引擎的健壮性，以及它与DOM的潜在不兼容性这几方面，都没有很实质性的研究成果。此前的证据也表明，微软方面对VBScript也没有统一的监管。

        例如，其内置的MsgBox可以用于显示一直处于顶层的模态提示框，其灵活性远超过JavaScript环境下的alert(...)，已达到闻所未闻的程度。
        
        很难预料IE浏览器还会继续支持VBScript到什么时候，对用户和网站应用安全还会带来什么无法预期的后果，这事儿唯时间有发言权了。#389:🥷‍🩴🪦🤡✋