当前位置：首页 > news >正文

XSS跨站脚本攻击及防护

news 2026/6/4 18:32:06

什么是XSS攻击？
XSS(Cross-Site Scripting,跨站脚本攻击)是一种代码注入攻击。攻击者在目标网站上注入恶意代码，当用户(被攻击者)登录网站时就会执行这些恶意代码，通过这些脚本可以读取cookie,session tokens，或者网站其他敏感的网站信息，对用户进行钓鱼欺诈。

XSS玫击原理

XSS是指攻击者在网页中嵌入客户端脚本，通常是JavaScript 编写的恶意代码，也有使用其他客户端脚本语言编写的。当用户使用浏览器浏览被嵌入恶意代码的网页时，恶意代码将会在用户的浏览器上执行。

Javascript 可以用来获取用户的 Cookie、改变网页内容、URL 跳转，攻击者可以在 script 标签中输入 Javascript 代码，如 alert(/xss/)，实现一些“特殊效果”。

XSS的危害
针对用户窃取cookie劫持的会话网络钓鱼放马挖矿广告刷流量针对web服务劫持后台（常见）篡改页面传播蠕虫内网扫描（常见）

XSS攻击过程

XSS类型
反射型:
反射型也称为非持久型，这种类型的脚本是最常见的，也是使用最为广泛的一种，主要用于将恶意的脚本附加到URL地址的参数中。

存储型：
攻击者将已经构造完成的恶意页面发送给用户，用户访问看似正常的页面后收到攻击，这类XSS通常无法直接在URL中看到恶意代码，具有较强的持久性和隐蔽性。

DOM
DOM型XSS无需和后端交互，而是基于JavaScript上，JS解析URL中恶意参数导致执行JS代码

2.XSS分类详解
（1）存储型XSS
存储型XSS：持久性，代码是存储在web服务器中的，比如在个人信息或发表文章等地方插入代码，如果没有过滤或者过滤不严，那么这些代码将存储在服务器中，用户访问该页面的时候触发代码执行。这种XSS比较危险，容易造成蠕虫、盗窃cookie。每一个访问特定页面的用户，都会受到攻击。

特点：
XSS攻击代码存储于web server上；攻击者一般是通过网站的留言、评论、博客、日志等功能（所有能够向web server输入内容的地方），将攻击代码存储到web server上的存储型XSS攻击流程：

（2）反射型XSS
反射型跨站脚本也称作非持久型、参数型跨站脚本、这类型的脚本是最常见的，也是使用最为广泛的一种，主要用于将恶意的脚本附加到URL地址的参数中。

`http://www.test.com/search.php?key="><script>alert("xss")</script>`` `

一般使用的将构造好的URL发给受害者，是受害者点击触发，而且只执行一次，非持久化。

反射型XSS攻击流程：

反射型XSS-DVWA：
`Payload：` `Low:<script>alert(1)</script>` `Mid:<SCRIPT>alert(1)</SCRIPT>` `High:<img src=1 οnerrοr=alert(1)>`

XSS攻击防范

XSS攻击的两大要素是攻击者提交恶意代码和浏览器执行恶意代码，针对这两点进行防范。

攻击者提交恶意代码

防护的重点是针对用户数据，总体思路是：在服务器端对用户提交的内容进行过滤，对URL的参数也进行过滤，屏蔽掉可以造成XSS攻击的内容。

输入过滤：

Str_replace() 替换函数``Preg_replace() 执行正则表达式的搜索和替换``Strtolower() 转化为小写字符``Trim() 消除空格``Stripslashes() 消除反斜杠

浏览器执行恶意代码

对HTML做充分转义：通常只有一个规则，就是把 & < > " ’ / 这几个字符转义掉，确实能起到一定的 XSS防护作用，如 htmlspecialchars() 可将"<”和">”转换为HTML实体。
————————————————
原文链接：https://blog.csdn.net/Javachichi/article/details/139113985

XSS跨站脚本攻击及防护

相关文章：

XSS跨站脚本攻击及防护

利用ClasserLoader来实现jar包加载并调用里面的方法

【VUE】快速上手

在 Docker 中部署无头 Chrome：在 Browserless 中运行

Meta-Learning数学原理

【图像匹配】基于SURF算法的图像匹配，matlab实现

RocketMQ实战与集群架构详解

docker容器中的内存占用高的问题分析

纯血鸿蒙NEXT常用的几个官方网站

A股上市公司企业创新能力、质量、效率-原始数据+dofile+结果（2006-2023年）

Selenium：开源自动化测试框架的Java实战解析

搜索功能技术方案

硬件体系架构的学习

【与C++的邂逅】--- C++的IO流

【C++ Primer Plus习题】16.8

基于stm32的四旋翼无人机控制系统设计系统设计与实现

【原理图PCB专题】案例：原理图设计检查为什么要检查全局网络？

Java 之 IO流

计算机毕业设计健身房管理系统的设计与实现 Java实战项目附源码+文档+视频讲解

uniapp uview扩展u-picker支持日历期间年期间月期间时分期间组件

保姆级教程：在ArcGIS Pro插件中集成你的自定义工具箱（以‘消除重复要素’为例）

别再死记硬背了！用Multisim仿真+图解，5分钟搞懂三极管共射放大电路工作原理

Python基础语法：生成器 generator(yield)

毕业设计 yolov11骨折检测医疗辅助系统（源码+论文）

光轮智能谢晨访谈总结机器人仿真数据产业

在Hermes Agent项目中接入Taotoken作为自定义模型供应商

量子纠错码VarQEC：原理、实现与硬件优化

【大模型聚合平台深度评测：阿里云百炼 vs 腾讯云 ADP，企业如何选型？】

告别手动复制！用这个自定义编辑器脚本一键备份/克隆Unity Terrain Data

别再瞎拖拽了！Unity Prefab从创建到批量修改的保姆级工作流（含变体与嵌套实战）