当前位置：首页 > article >正文

【网络安全】XSS攻击

article 2025/6/6 10:03:43

如果文章不足还请各位师傅批评指正！

XSS攻击是什么？

XSS全称是“Cross Site Scripting”，也就是跨站脚本攻击。想象一下，你正在吃一碗美味的面条，突然发现里面有一只小强！恶心不？XSS攻击就是这么个感觉——它往正常的网页里塞进恶意代码，等你打开网页时，这段代码就会悄悄执行，可能偷走你的信息，比如账号、密码之类的。

一、XSS 攻击的原理：藏在网页里的 “坏心眼纸条”

想象一下，你和朋友们在一个热闹的留言板上分享趣事，每个人都能写下自己想说的话。正常情况下，大家留下的都是温馨、有趣的内容。但这时，有个心怀不轨的 “捣蛋鬼”（攻击者），他发现留言板的管理员（目标服务器）比较粗心，没有仔细检查大家写的内容。于是，他在留言里夹带了一张 “坏心眼纸条”—— 恶意的 HTML 脚本代码。

当其他小伙伴（受害者）打开这个留言板页面时，因为大家都信任这个留言板，浏览器就会像往常一样展示内容。可没想到，这张 “坏心眼纸条” 里的恶意脚本也跟着被执行了！它可能会偷偷记录你的账号密码，或者把你的个人信息发送给 “捣蛋鬼”，就像在你毫无察觉的情况下，有人把你的小秘密偷走了一样。

简单来说，XSS 攻击就是攻击者利用服务器没有对用户输入进行安全验证的漏洞，把恶意代码注入到 HTML 页面中。当受害者的浏览器访问这个被注入恶意脚本的页面时，由于浏览器信任服务器，恶意脚本就能顺利执行，从而达到攻击者的目的。

二、XSS 攻击的类型：“捣蛋鬼” 的不同作案手法

“捣蛋鬼”（攻击者）可不会只用一种方法搞破坏，他们有好几种不同的作案手法，也就是 XSS 攻击的不同类型。

反射型 XSS：藏在链接里的陷阱

这种攻击就像是 “捣蛋鬼” 给你发了一条看起来很诱人的链接，比如 “快来领取你的专属奖品！”。当你好奇地点开链接时，链接里其实藏着恶意脚本。这个恶意脚本会被服务器反射回你的浏览器，然后在你的浏览器里执行。它就像一个伪装成奖品的陷阱，等你一踩上去，就会触发 “机关”，造成信息泄露等危害。不过，反射型 XSS 攻击需要受害者主动点击恶意链接才会生效，而且攻击代码不会存储在服务器上，就像一个一次性的陷阱。

存储型 XSS：潜伏在服务器里的 “定时炸弹”

与反射型 XSS 不同，存储型 XSS 攻击就像 “捣蛋鬼” 在留言板的墙缝里藏了一颗 “定时炸弹”（恶意脚本）。他们把恶意代码直接注入到服务器的数据库中，比如在论坛的帖子、评论里。当其他用户访问这些页面时，服务器会把带有恶意脚本的内容发送给用户的浏览器，恶意脚本就会自动执行。这种攻击危害更大，因为只要有人访问相关页面，就可能中招，而且攻击代码会一直存在于服务器上，持续威胁用户安全。

DOM-based 型 XSS：利用浏览器 “小失误” 搞破坏

DOM（Document Object Model，文档对象模型）就像是浏览器用来理解和展示网页的 “地图”。DOM-based 型 XSS 攻击就是 “捣蛋鬼” 发现浏览器在解析网页时偶尔会犯一些 “小失误”，比如对某些数据处理不当。他们利用这些漏洞，在网页的 DOM 结构中注入恶意脚本。当浏览器加载和处理网页时，这些恶意脚本就会被执行。这种攻击比较隐蔽，因为它主要发生在客户端（用户的浏览器），不直接和服务器交互，就像在浏览器的 “后院” 偷偷搞破坏。

其他类型：

除了以上三种常见类型，还有基于字符集的 XSS、基于 Flash 的跨站 XSS、未经验证的跳转 XSS 等。它们就像 “捣蛋鬼” 的一些小众作案手法，虽然不那么常见，但同样可能带来安全风险。比如基于字符集的 XSS，是攻击者利用字符编码的差异来绕过安全检查，注入恶意脚本；基于 Flash 的跨站 XSS 则是利用 Flash 插件的漏洞进行攻击；未经验证的跳转 XSS，是通过诱导用户跳转到恶意页面来实施攻击。

三、XSS 攻击的防范措施：给网络世界加上 “安全锁”

既然 XSS 攻击这么危险，我们该怎么防范呢？其实，就像给家里安装防盗门、防盗窗一样，我们也可以给网络世界加上各种 “安全锁”。

前端 htmlEncode：

这就像是给留言板的纸张加上一层特殊的涂层，任何写上去的内容都会被自动转化成安全的格式。当 “捣蛋鬼” 想写下恶意脚本时，特殊涂层会把那些危险的符号和代码都变成无害的样子，让恶意脚本无法生效。

进行必要的转译、替换和检查特殊符号：

比如把 “>”“<”“'”“&”“\” 等特殊符号进行转译，就像把 “捣蛋鬼” 手里的危险工具都换成无害的玩具。服务器在接收用户输入时，仔细检查这些特殊符号，一旦发现可疑内容，就及时处理，不让恶意脚本有可乘之机。

输入输出的过滤和数据转义：

在用户输入内容时，对输入的数据进行严格过滤，只允许合法的字符和格式进入；在输出内容时，对从服务器获取的数据进行转义处理，确保展示给用户的内容是安全的。这就像给进出网络世界的 “人员” 和 “物品” 都进行严格安检，把危险拒之门外。

URL 校正：

检查和修正 URL 中的可疑部分，防止攻击者通过恶意 URL 进行反射型 XSS 攻击。就像给道路设置交通警察，指挥车辆（URL）安全通行，避免驶入危险区域。

使用更加安全的 Https：

Https 就像是给网络通信加上了一个加密的信封，所有的数据在传输过程中都是加密的，即使 “捣蛋鬼” 截获了数据，也无法看懂里面的内容，从而保护用户信息不被窃取。

HTML Attribute：

合理使用 HTML 属性，设置一些安全策略，限制脚本的执行范围和权限。比如设置Content-Security-Policy（内容安全策略），规定网页可以从哪些来源加载资源，禁止执行非法的内联脚本，就像给网页划定了一个安全的活动区域，让 “捣蛋鬼” 无法随意捣乱。

靶场

想亲手试试怎么抵御这个小捣蛋吗？我找到两个超棒的靶场，大家可以去试试身手！

1. XSS-Labs靶场 网址：XSS-Labs靶场教程：XSS-Labs靶场通关全教程

2. XSS Challenges平台 网址：XSS Challenges 教程：XSS Challenges模拟实战训练

再次感谢！是小白是小白是小白，如果文章不足还请师傅批评指正。感谢~

XSS攻击是什么？

一、XSS 攻击的原理：藏在网页里的 “坏心眼纸条”​

二、XSS 攻击的类型：“捣蛋鬼” 的不同作案手法​

反射型 XSS：藏在链接里的陷阱​

存储型 XSS：潜伏在服务器里的 “定时炸弹”​

DOM-based 型 XSS：利用浏览器 “小失误” 搞破坏​