二、XSS跨站脚本攻击：浏览器信任的陷阱

二、XSS跨站脚本攻击：浏览器信任的陷阱2.1 什么是XSS？

跨站脚本攻击（Cross-Site Scripting，XSS）是一种代码注入攻击，攻击者在网页中注入恶意脚本，当用户访问该网页时，这些脚本会在用户的浏览器中执行，进而执行攻击者预期的操作。XSS利用的是浏览器对网页内容的信任——浏览器默认会执行页面中的所有脚本。

2.2 XSS的工作原理

当不受信任的输入在页面上被呈现为输出，但被误解为可执行代码时，XSS就会发生。攻击者可以在输入参数中放置恶意的可执行代码（HTML标签、JavaScript等），这些代码返回到浏览器时被执行，而不是作为数据显示。

浏览器的运行模式决定了漏洞的存在：

• 用户访问一个网页
• 该页面告诉浏览器要加载哪些文件和执行哪些内容
• 浏览器执行页面上的内容，没有问题
  
  

这种功能导致了交互体验，但也导致了漏洞——当攻击者将恶意脚本添加到有漏洞的网站上时，它就会毫无疑问地被执行。

2.3 XSS的三种类型2.3.1 存储型XSS（Stored XSS）

存储型XSS发生在攻击者可以将恶意脚本持久地存储在应用程序的数据字段中。每次在应用程序中显示该数据字段时，恶意脚本就会被发送到用户的浏览器。

常见场景：论坛网站、评论引擎、留言板。攻击者在评论中输入恶意脚本，每个浏览该评论的用户都会在不知不觉中执行该脚本。

示例：在留言板中输入<script>alert('XSS Attack!');</script>提交，后台存储后，后续所有访问该页面的用户都会看到弹窗。

2.3.2 反射型XSS（Reflected XSS）

反射型XSS发生在用户输入被原样反射到用户的浏览器上。攻击代码通过URL参数传递，并在响应中直接反射回浏览器执行。

常见场景：搜索框在获取搜索结果时向用户显示"您搜索了..."。攻击者可以向受害者发送包含恶意脚本的链接，诱使用户点击。

2.3.3 DOM型XSS（DOM-based XSS）

DOM型XSS利用了许多UI框架（如Angular和React）中的复杂模板结构。攻击代码在客户端运行，直接操纵DOM节点，修改网页内容。这类攻击不涉及服务器端，完全在客户端完成。

2.4 XSS的危害

XSS可以做到JavaScript能做的任何事情：

• 会话劫持：窃取用户的Cookie，冒充用户登录
• 键盘记录：记录用户在页面上的所有输入
• 钓鱼攻击：将用户重定向到恶意网站
• 网页篡改：修改页面内容，传播恶意信息
• 蠕虫传播：自我复制，感染更多用户
  
  

真实案例：

• 2015年，雅虎电子邮件用户因XSS漏洞被窃取会话cookie
• Samy蠕虫通过MySpace的XSS漏洞传播，在20小时内感染100万用户
• eBay曾允许在产品描述中包含恶意脚本，导致对用户的XSS攻击
  
  

2.5 XSS的防御措施2.5.1 输出编码

击败XSS的关键是理解上下文——用户输入将被送回客户端的上下文。对输出进行HTML编码将告诉浏览器按原样呈现内容，而不是执行它。

现代框架的自动编码：

• Angular、ASP.NET MVC和React.js默认进行HTML编码
• Django和Spring有预防XSS的标准库
  
  

2.5.2 安全编码实践

• 避免使用innerHTML：尽量使用innerText或textContent，可有效过滤HTML代码
• 输入验证：对用户输入进行严格验证和白名单过滤
• 第三方库辅助：使用DOMPurify等库过滤恶意脚本
  
  

2.5.3 内容安全策略（CSP）

通过HTTP响应头Content-Security-Policy限制页面可以加载和执行的资源，即使攻击者注入了脚本，浏览器也不会执行。

2.6 小结

XSS攻击利用浏览器对网页内容的信任，通过注入恶意脚本窃取用户数据。虽然现代浏览器和前端框架已有较好的防御机制，但开发者仍需保持警惕，遵循安全编码规范。理解用户输入进入系统的所有方式，对输出进行编码，是防御XSS的核心策略。