我们用浏览器打开网页时,浏览器首先将从远端服务器下载到本地的网页源文件读取到内存中,然后将源代码渲染成 DOM 树,并执行网页源文件中 script 标签页里嵌入的 Javascript 脚本。

如果我们轻易打开来历不明的网页,这些网页文件里包含的 Javascript 脚本,可能含有不怀好意的攻击者精心编写过的包含攻击行为的恶意代码,此时这些脚本自动执行,会给我们的操作系统造成影响。