此时，该网站的管理员才发觉大量活动，被迫将MySpace关闭数小时，以清除该蠕虫病毒。

“在后台袭击MySpace、谷歌和雅虎的是跨站脚本，”计算机安全公司iSEC Partners主合伙人亚历克斯•斯坦默斯(Alex Stamos)说。“你可以通过脚本的输入输出过滤来进行阻挡。在传统的Web 1.0世界里，要处理的只有一大张以标准超文本标识语言(HTML)编写的网页，因此要把这些脚本阻挡在外并不难。”

但在Web 2.0中，插入脚本的方式如此之多，以至于进行阻挡要难得多，他说道。编写web应用的人，再也不能只用现成的过滤器了。

“24小时读完一本Ajax的书”

“你必须培训开发人员，”SPI的霍夫曼先生说。“围绕Ajax的炒作正导致一个问题：人们看到了MySpace的成功而纷纷采用Ajax技术。他们24小时内读完一本如何学会Ajax的书，然后创建一个存在安全隐忧的网站。”

此类初创网站得到了Ajax“框架”的帮助，“框架”就是现成的Web 2.0程序包。“利用Ajax框架的理念就是，你不必理解它如何运行。但我们的观点是，如果不知道它如何运行，你就不知道如何安全地使用它，”斯坦默斯表示。

他的公司探索了一些漏洞，当用户打开多个浏览器窗口，并在一个窗口里访问一个恶意站点时，可能导致在另一个窗口获得信息，并执行脚本。

SPI向一家网上股票经纪商展示了它所创建的恶意软件，该软件冒充会员身份，买卖他们的股票，并清空其银行账户。

程序开发人员将谷歌本地搜索(Google Maps)等应用，与在线分类广告服务网站Craigslist的广告结合起来，给出待售房产的位置信息，此类混合技术(mash-up)意味着，安全问题已扩展到不同的应用程序中。在RSS阅读器中聚合新闻源，并将用户对新闻条目所作的评论包含进去，这种做法也增加了引入恶意代码的概率。

然而，许多Web 2.0初创网站规模太小，无法把很多时间花在安全问题上。“在Web 1.0时代，安全性姗姗来迟，并且总是落在后面，这很正常，”斯坦默斯说。

“你不可能找到一个风险投资家，对他说你将拥有最安全的混合技术站点，然后得到2000万美元。你应该说，你将提供最酷的互动方式，这才会使你得到资助。”