这是一个很好的整体参考http://cwe.mitre.org/data/definitions/79.html

根据 www.infosecisland.com：

来自赛门铁克坦率的 Wueest：

“由于 JavaScript 过滤不足，Facebook 的移动 API 版本中存在该漏洞。它允许任何网站包含例如恶意准备的包含 JavaScript 的 iframe 元素或使用 http-equiv 属性的“刷新”值来重定向浏览器到包含 JavaScript 的准备好的 URL。”

“任何登录 Facebook 并访问包含此类元素的网站的用户都会自动将任意消息发布到他或她的墙上。不需要其他用户交互，也不涉及点击劫持等技巧。”

“仅仅访问受感染的网站就足以发布攻击者选择的消息。因此，其中一些消息通过 Facebook 传播得非常快也就不足为奇了。有些人发布了指向受感染网站的链接，从而创建了 XSS 蠕虫病毒传播从用户到用户。”

Facebook 已经修补了基于 JavaScript 的 XSS 漏洞，该公司表示他们现在正在努力消除攻击造成的损害。

所以这个问题与中和网页中的数据输入有关。

当然，我们现在生活在互联网时代，所以，有一个视频！

https://www.youtube.com/watch?v=QcSAU16wjHQ

它有将近 10 分钟的时间，包含了您想要的所有详细信息，并查看了漏洞利用代码及其功能。