xss

跨站脚本攻击（XSS）是什么？

跨站脚本攻击（Cross-Site Scripting，XSS）是一种通过向网页注入恶意脚本代码来攻击用户浏览器的安全漏洞。攻击者利用未严格过滤的输入点（如表单、URL参数），将恶意代码植入目标网站页面，当其他用户访问该页面时，浏览器会执行这些代码，导致数据窃取、会话劫持或页面篡改等后果。

XSS攻击的三种主要类型

1. 存储型XSS（持久型）
恶意脚本被永久存储到目标服务器（如数据库、评论区），每次用户访问受感染页面时自动触发。常见于社交媒体、论坛等用户生成内容（UGC）场景。
2. 反射型XSS（非持久型）
恶意代码通过URL参数传递，服务器未过滤直接返回给用户浏览器执行。通常需诱导用户点击特制链接，常见于搜索框或错误页面。
3. DOM型XSS
攻击通过修改页面的DOM结构实现，不经过服务器处理。例如，利用JavaScript从URL中读取参数并动态写入页面，导致客户端代码执行。

XSS攻击的危害实例

• 窃取用户Cookie：通过document.cookie获取登录凭证，接管用户账户。
• 钓鱼攻击：伪造登录弹窗诱导用户输入敏感信息。
• 页面重定向：强制跳转到恶意网站传播木马或勒索软件。
• 键盘记录：监控用户输入内容，盗取密码或信用卡信息。

防御XSS攻击的核心方法

1. 输入验证与过滤
对所有用户输入进行严格校验，拒绝包含HTML标签、JavaScript事件（如onerror）或特殊字符（如<、>）的内容。使用白名单机制仅允许安全字符通过。
2. 输出编码
根据输出位置（HTML、JavaScript、CSS、URL）使用对应的编码函数，例如：

• HTML实体编码：将<转换为&lt;
• JavaScript Unicode转义：将"转换为\u0022
  3. 内容安全策略（CSP）
  通过HTTP头设置Content-Security-Policy，限制脚本来源，例如：
  Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com
  4. 启用HttpOnly属性
  设置Cookie时添加HttpOnly标志，阻止JavaScript访问敏感Cookie：
  Set-Cookie: sessionID=abc123; HttpOnly; Secure
  5. 使用现代前端框架
  React、Vue、Angular等框架默认对动态内容进行转义，避免意外执行未经验证的代码。

XSS漏洞检测工具推荐

• OWASP ZAP：开源工具，支持自动化扫描与手动渗透测试。
• Burp Suite：专业级Web安全测试工具，可拦截修改HTTP请求检测XSS注入点。
• Acunetix：商业漏洞扫描器，提供详细修复建议。

常见误区与注意事项

• 仅依赖前端过滤无法防御XSS，需结合服务端验证。
• 黑名单过滤（如替换alert()）易被绕过，优先使用白名单机制。
• 第三方组件（如富文本编辑器）需更新至最新版本，避免已知漏洞。

通过严格遵循安全编码规范、定期审计代码并采用自动化防护工具，可有效降低XSS攻击风险，保障网站与用户数据安全。