javascript是當前我們所使用的一種高度優化的編程語言，幾乎所有的網頁應用都離不開javascript，然而，隨著技術的提高，惡意攻擊者也隨之多樣化，因此，我們必須要了解javascript源碼的安全問題。

首先，在javascript源代碼的安全性方面，最常見的問題就是跨站腳本攻擊（XSS攻擊）。眾所周知，很多時候我們不得不將從前端傳入后端的數據進行過濾。例如，在輸入框中輸入一段文本，然后將其提交給后端，為此我們需要對輸入的文本進行過濾。如果不進行過濾，那么就可能會遭受XSS攻擊。以下是一個示例代碼：

function login(){
var username=document.getElementById("username").value;  
var passwd=document.getElementById("passwd").value;  
//驗證輸入的用戶名和密碼是否為空  
if (username=="" || passwd==""){  
alert("用戶名和密碼不能為空！");  
return; 
} 
//提交數據到服務器  
var xmlhttp;  
if (window.XMLHttpRequest){  
xmlhttp=new XMLHttpRequest();
}  
else{  
xmlhttp=new ActiveXObject("Microsoft.XMLHTTP");  
}  
xmlhttp.onreadystatechange=function(){  
if (xmlhttp.readyState==4 && xmlhttp.status==200){  
//處理返回的結果  
var result=xmlhttp.responseText;  
if (result=="success"){  
window.location.href="home.html";  
}  
else{  
alert("登錄失敗！");  
}  
}  
}  
xmlhttp.open("POST","login.php",true);  
xmlhttp.setRequestHeader("Content-type","application/x-www-form-urlencoded");  
xmlhttp.send("username="+username+"&passwd="+passwd);  
}

從上面的代碼中我們可以看到，在用戶提交了登錄信息后，會使用XMLHttpRequest對象將其發送到服務器進行驗證。但是在這個過程中，惡意攻擊者很可能會在提交的內容中注入javascript腳本，如果管理員沒有進行相應的過濾，那么你的網站就會遭受到XSS攻擊。

還有一種常見的安全問題，就是跨站請求偽造（CSRF攻擊）。這種攻擊通常利用了用戶的cookie信息，將用戶的請求發送到一個被攻擊者控制的網站，以達到非法目的。例如下面的示例代碼：

function doPost(url, data) {
var form = document.createElement("form");
form.action = url;
form.method = "POST";
for (var key in data) {
var input = document.createElement("input");
input.type = "hidden";
input.name = key;
input.value = data[key];
form.appendChild(input);
}
document.body.appendChild(form);
form.submit();
document.body.removeChild(form);
}

在上面的代碼中，我們可以看到，當我們向服務器發送post請求時，使用了一個form表單，然后動態地將數據添加進去并進行提交。然而，如果惡意攻擊者成功地通過尋找目標站點的漏洞，并得到了使用者的cookie信息，那么攻擊者就可以將用戶的請求發送到目標站點，以達到非法目的。

因此，要防止這種攻擊，我們應該限制cookie的有效期限，這樣就可以限制攻擊者的能力。

最后，雖然我們已經了解到了越來越多的安全攻擊方式，但是我們仍然應該保持警惕，在使用javascript時，一定要注意代碼的編寫，以免給攻擊者留下侵犯您網站的機會。