当前位置：首页 > news >正文

XSS跨站脚本攻击及防护

news 2026/3/28 18:13:09

什么是XSS攻击？
XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者在目标网站上注入恶意代码，当用户(被攻击者)登录网站时就会执行这些恶意代码，通过这些脚本可以读取cookie,session tokens，或者网站其他敏感的网站信息，对用户进行钓鱼欺诈。

XSS玫击原理

XSS是指攻击者在网页中嵌入客户端脚本，通常是JavaScript 编写的恶意代码，也有使用其他客户端脚本语言编写的。当用户使用浏览器浏览被嵌入恶意代码的网页时，恶意代码将会在用户的浏览器上执行。

Javascript 可以用来获取用户的 Cookie、改变网页内容、URL 跳转，攻击者可以在 script 标签中输入 Javascript 代码，如 alert(/xss/)，实现一些“特殊效果”。

XSS的危害
针对用户窃取cookie劫持的会话网络钓鱼放马挖矿广告刷流量针对web服务劫持后台（常见）篡改页面传播蠕虫内网扫描（常见）

XSS攻击过程

XSS类型
反射型:
反射型也称为非持久型，这种类型的脚本是最常见的，也是使用最为广泛的一种，主要用于将恶意的脚本附加到URL地址的参数中。

存储型：
攻击者将已经构造完成的恶意页面发送给用户，用户访问看似正常的页面后收到攻击，这类XSS通常无法直接在URL中看到恶意代码，具有较强的持久性和隐蔽性。

DOM
DOM型XSS无需和后端交互，而是基于JavaScript上，JS解析URL中恶意参数导致执行JS代码

2.XSS分类详解
（1）存储型XSS
存储型XSS：持久性，代码是存储在web服务器中的，比如在个人信息或发表文章等地方插入代码，如果没有过滤或者过滤不严，那么这些代码将存储在服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫、盗窃cookie。每一个访问特定页面的用户，都会受到攻击。

特点：
XSS攻击代码存储于web server上；攻击者一般是通过网站的留言、评论、博客、日志等功能（所有能够向web server输入内容的地方），将攻击代码存储到web server上的存储型XSS攻击流程：

（2）反射型XSS
反射型跨站脚本也称作非持久型、参数型跨站脚本、这类型的脚本是最常见的，也是使用最为广泛的一种，主要用于将恶意的脚本附加到URL地址的参数中。

`http://www.test.com/search.php?key="><script>alert("xss")</script>`` `

一般使用的将构造好的URL发给受害者，是受害者点击触发，而且只执行一次，非持久化。

反射型XSS攻击流程：

反射型XSS-DVWA：
`Payload：` `Low:<script>alert(1)</script>` `Mid:<SCRIPT>alert(1)</SCRIPT>` `High:<img src=1 οnerrοr=alert(1)>`

XSS攻击防范

XSS攻击的两大要素是攻击者提交恶意代码和浏览器执行恶意代码，针对这两点进行防范。

攻击者提交恶意代码

防护的重点是针对用户数据，总体思路是：在服务器端对用户提交的内容进行过滤，对URL的参数也进行过滤，屏蔽掉可以造成XSS攻击的内容。

输入过滤：

Str_replace() 替换函数``Preg_replace() 执行正则表达式的搜索和替换``Strtolower() 转化为小写字符``Trim() 消除空格``Stripslashes() 消除反斜杠

浏览器执行恶意代码

对HTML做充分转义：通常只有一个规则，就是把 & < > " ’ / 这几个字符转义掉，确实能起到一定的 XSS防护作用，如 htmlspecialchars() 可将"<”和">”转换为HTML实体。
————————————————
原文链接：https://blog.csdn.net/Javachichi/article/details/139113985

XSS跨站脚本攻击及防护

相关文章：

XSS跨站脚本攻击及防护

利用ClasserLoader来实现jar包加载并调用里面的方法

【VUE】快速上手

在 Docker 中部署无头 Chrome：在 Browserless 中运行

Meta-Learning数学原理

【图像匹配】基于SURF算法的图像匹配，matlab实现

RocketMQ实战与集群架构详解

docker容器中的内存占用高的问题分析

纯血鸿蒙NEXT常用的几个官方网站

A股上市公司企业创新能力、质量、效率-原始数据+dofile+结果（2006-2023年）

Selenium：开源自动化测试框架的Java实战解析

搜索功能技术方案

硬件体系架构的学习

【与C++的邂逅】--- C++的IO流

【C++ Primer Plus习题】16.8

基于stm32的四旋翼无人机控制系统设计系统设计与实现

【原理图PCB专题】案例：原理图设计检查为什么要检查全局网络？

Java 之 IO流

计算机毕业设计健身房管理系统的设计与实现 Java实战项目附源码+文档+视频讲解

uniapp uview扩展u-picker支持日历期间年期间月期间时分期间组件

从手势识别到创意应用：用Python+MediaPipe打造你的第一个手势控制程序（附完整源码）

DIY USB3.0集线器翻车实录：GL3523芯片的USB3.0死活不认，问题到底出在哪儿？

PP-DocLayoutV3产业应用效果：金融票据与医疗报告的结构化

JavaScript金融计算中的精度陷阱与高精度解决方案

别再被‘绝对安全’忽悠了：聊聊量子密钥分发里那个叫‘诱骗态’的‘安全补丁’

OpenPose vs MediaPipe：人体姿态估计工具选型指南

Granite TimeSeries FlowState R1：从理论到代码，深入理解时间序列预测AI

从WechatRealFriends迁移至WeFriends：解决微信好友管理痛点的完整指南

MGeo中文地址解析惊艳效果：‘宁夏银川市金凤区宁安大街490号银川市民大厅’11字段精准输出

Wan2.2-I2V-A14B开源大模型教程：模型权重结构解析与LoRA微调入门