IE8 beta2在安全上的一大改进就是加入了XSS Filter。这是第一个由厂商自己在产品里嵌入对抗XSS功能的浏览器。其他比如像Firefox的noscript扩展等，都还属于第三方开发的状态。

虽然这个XSS Filter还不完美，但是我认为还是应该肯定微软的这种态度。

出于可用性的考虑，安全产品往往会被设计的不伦不类，比如这个XSS Filter。

由于浏览器对效率要求高，所以不可能做太复杂的语法和词法分析，因为这样会降低浏览器处理能力和处理速度，特别是在处理大文本的时候这种问题会更加明显。

不能对XSS做太多的限制，因为有的程序员就是喜欢写这种把漏洞当功能的程序。当然，这种行为是应该被禁止的，但是如果XSS Filter 限制太严格，也会损害到用户的体验。比如很多功能会失效，或者会增加交互行为，进而把用户吓跑。

所以，IE8 的XSS Filter是基于签名的匹配，这也就意味着他会有被绕过的可能，会有遗漏的地方。

比如最近80sec就发布了他们的评测报告和建议

http://www.80sec.com/ie8-security-alert.html


而今天又看到了另外一篇指出由于是匹配签名，所以一些不规则的XSS会被绕过




但是从结果上来说，我觉得至少可以阻挡绝大部分的XSS攻击了。他的目的和门槛，应该也是这绝大部分的普通的、规则的XSS攻击。

所以从这个角度来看，他的作用已经起到了。

微软的产品一向是给大众使用的，所以在安全和用户门槛、用户体验发生冲突时，只能做一些让步。

希望看到微软的持续改进和完善。

此外我们也可以看到，抵抗XSS不能只靠微软一家，在server端，网站程序里，还是应该持续的对抗XSS攻击，客户端浏览器出于其先天限制，不可能在对抗XSS的道路上走太远，太深。