是的。投放广告会使自己容易受到营销公司或其任何中间人等的攻击。

您可以通过两种方式投放广告。一种方法是将广告放在 IFRAME 中。第二个是通过 SCRIPT SRC= 将其包含在内。

• iframed 广告更安全：它通过同源策略与您页面的其余部分隔离开来。虽然广告仍然可以提供令人讨厌的内容、显示欺骗性内容或尝试利用用户浏览器中的漏洞（在路过式下载攻击中），但它不能篡改您网站其余部分的内容或用户与您的互动地点。但是，由于 iframe 限制了广告的功能（它不能查看包含页面或与包含页面交互；它不能做扩展广告等），广告商通常为这类广告支付较少的费用。

• 内联 (SCRIPT SRC=) 广告是更大的危险。如果广告是恶意的，它可能会完全接管您的网站：它可以窃取会话 cookie、植入键盘记录器、窃取用户密码、破坏网站外观、从用户那里获取个人信息并将其转发到场外、欺骗用户操作，在您的网站上植入令人讨厌的内容等。因此，如果您使用这种在您的网站上包含广告的方法，您完全信任广告公司以及与他们有业务往来的每个人。

  同样，您可以在网页中嵌入 Flash 广告。这带来了类似的风险。

恶意广告随处可见。2009 年，纽约时报网页的访问者受到恶意广告的攻击，该广告在 NYT 网页上提供并显示虚假 A/V 警报（技术细节和更多细节）；攻击者假装是《纽约时报》的客户，为他/她的广告购买了报道。显然，FoxNews 网站也受到了恶意广告的攻击，MySpace、Excite、Expedia、Rhapsody、MayoClinic、Bing、Yahoo、伦敦证券交易所（详情）、eBay、Doubleclick、MSN、Spotify、Drudge Report，当然还有其他。

已经有一些关于恶意广告流行的研究。Dasient 估计，2010 年每天有 300 万次恶意广告展示。

原则上，有技术防御。例如，雅虎的 AdSafe 是 Javascript 的一个受限子集，旨在允许广告商构建可以直接嵌入到页面中的富媒体广告（用 Javascript 编写）（通过 SCRIPT SRC），同时保持安全性。然而，AdSafe 并没有流行起来，广告网络一直不愿意采用技术防​​御。相反，他们依赖于对客户的审查——这可能相当粗略。还有一些其他方法可能适用，包括Google Caja、Microsoft 的 Web Sandbox 和沙盒 iframe，但我不熟悉它们是否可以轻松应用于典型的广告场景。

因此，如果您接受广告，您将承担安全风险。在许多情况下，这种风险是可以接受的，尤其是在广告收入流足够大的情况下。但我通常会建议，如果您的网站对安全特别敏感，那么您应该避免在您的网页上放置广告。

我认为值得检查：

• 如何将可执行的恶意代码注入 PDF、JPEG、MP3 等文件？

主要风险是垃圾邮件发送者现在提供有吸引力的“免费”反垃圾邮件保护，通过它而不是网站管理员（所有者）不知道它的网络资源向访问者发送垃圾邮件。
见我的文章：

• 垃圾邮件的新趋势：垃圾邮件与反垃圾邮件保护相结合，垃圾邮件访客而不是网站

那些为他们的外部服务提供反垃圾邮件插件的广告商和营销商使用不同的技巧来避免被暴露：

• 不向网站管理员/网络资源所有者（网站、博客等）的位置呈现广告，以使“受保护”资源的网站管理员看不到广告；
• 向访问者展示广告，使其无法被复制：
  • 选择性地和间歇性地展示广告（有时，向某些用户展示）；
  • 在首次访问、前几分钟等时仅显示一次广告；
  • 使用地理定位和跟踪；
    （当对该用户或其所在地区的广告商不感兴趣时​​，不要展示广告）；
• 等等。

还有另一种越来越普遍的攻击媒介，称为“恶意广告”：创建直接链接到恶意软件的真实广告。

虽然这类事情更多是广告网络提供商的责任，而不是网站发布者的责任，但您仍然应该注意这一风险，因为通过在您的网站上启用广告，您可能会无意中托管此类内容。

您可以在 Wikipedia 上阅读更多相关信息：https ://en.wikipedia.org/wiki/Malvertising

您可以在此处阅读有关特定攻击的新闻文章：https ://www.pcworld.com/article/2086700/yahoo-malvertising-attack-linked-to-larger-malware-scheme.html