XSS攻击通过注入恶意脚本窃取信息或篡改页面,主要类型有反射型、存储型和DOM型;防御需坚持输入验证、输出编码、使用安全API、设置CSP和HttpOnly Cookie等措施。
XSS 攻击(跨站脚本攻击,Cross-Site Scripting)是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本,使得其他用户在浏览页面时,浏览器执行这些脚本。这类脚本通常以 JavaScript 形式存在,能够窃取 Cookie、会话令牌、修改页面内容或重定向到恶意网站。
常见 XSS 类型
反射型 XSS:恶意脚本作为请求的一部分发送到服务器,服务器将脚本嵌入响应中返回给用户。通常通过诱导用户点击恶意链接实现。
存储型 XSS:攻击者将恶意脚本提交并存储在目标服务器上(如评论区、用户资料),其他用户访问该页面时自动执行。
DOM 型 XSS:不经过服务器,攻击通过修改页面的 DOM 结构触发,完全在客户端执行。
如何有效防御 XSS
防范 XSS 的核心是不要信任用户输入,并对输出进行适当处理。
• 输入验证:对用户提交的数据进行白名单过滤,限制特殊字符或标签,比如只允许字母数字输入。
• 输出编码:在将数据插入 HTML、JavaScript、URL 等上下文前,根据场景进行相应编码。例如使用 HTML 实体编码(
变为 zuojiankuohaophpcn)。• 使用安全 API:避免使用
innerHTML、document.write() 等可执行脚本的方法,优先使用 textContent 插入文本。• 设置 HTTP 头:启用 Content Security Policy (CSP),限制页面只能加载指定来源的脚本,大幅降低 XSS 执行风险。
• HttpOnly Cookie:为敏感 Cookie 设置 HttpOnly 标志,防止 JavaScript 通过
document.cookie 窃取。
开发中的实用建议
现代前端框架(如 React、Vue)默认提供一定 XSS 防护,比如自动转义变量插入。但仍需注意使用 dangerouslySetInnerHTML 或 v-html 等功能时的风险。
服务端渲染或模板引擎(如 Jinja2、EJS)应使用自动转义选项,并确认开启。
基本上就这些。XSS 虽然常见,但只要坚持输入净化、输出编码和合理使用安全机制,就能有效避免。
