XSS 跨站脚本攻击解析-漏洞解析3-程序员充电站

一、前言

跨站脚本攻击（XSS，Cross-Site Scripting）是OWASP TOP10 高频高危漏洞，属于典型的代码注入类攻击。

核心成因是Web 应用未对用户输入做严格校验、转义与过滤，导致恶意脚本被嵌入页面并在受害者浏览器中执行。

攻击者可利用 XSS 窃取用户隐私、劫持会话、篡改页面、钓鱼诱导、横向渗透，几乎所有 Web 业务系统都存在暴露风险。

本文系统性拆解反射型、存储型、DOM 型三类 XSS 核心区别、攻击场景、实战危害，同时给出前端 + 后端双向落地防御方案，用作大家的包括自己的面试复习。

概述

恶意载荷拼接在 URL 参数中，用户点击恶意链接后，服务端即时接收参数、直接反射返回页面，脚本单次执行，不落地存储。

典型攻击场景

搜索框回显、错误提示页、URL 参数展示、临时信息弹窗。

简易攻击 Payload

http://test.com/search?key=<script>alert(document.cookie)</script>

核心特点

核心原理

恶意脚本提交至服务端，写入数据库、评论区、公告、个人简介等持久化存储位置，永久保存。任意用户访问对应页面时，自动加载并执行恶意代码。

典型攻击场景

论坛评论、留言板、用户资料编辑、商品评价、后台公告发布。

简易攻击 Payload

核心特点

核心原理

不经过服务端处理与存储，完全由前端 JS 操作 DOM 节点，直接解析用户可控参数并动态渲染，恶意代码在前端本地触发。

典型攻击场景

前端 URL 哈希解析、路由跳转、本地拼接 DOM、前端无渲染过滤。

简易攻击 Payload

http://test.com/#<script>alert('DOM XSS')</script>

禁用危险原生事件：严格限制onerror、onload、onclick等事件标签，过滤非常规属性。
使用安全 DOM 操作 API：禁止使用innerHTML、document.write危险方法，优先使用textContent、setAttribute安全接口。
前端输入内容转义：对用户输入的特殊字符< > & " '做全局转义，禁止直接拼接 HTML 片段。
配置浏览器安全策略：部署CSP 内容安全策略，限制脚本加载域名、禁止内联脚本、禁止 eval 动态执行代码。
Cookie 安全加固：添加HttpOnly、Secure、SameSite属性，禁止 JS 直接读取 Cookie，阻断会话劫持核心链路。

emmm，因为我是java开发

统一输入过滤校验全局拦截特殊字符，过滤<script>、iframe、javascript:等恶意标签与协议头。
输出全局 HTML 编码页面渲染、接口返回数据前，统一对特殊符号进行 HTML 实体转义，破坏脚本执行结构。

Java 核心工具类转义示例：// 特殊字符转义，防御XSS String safeText =
HtmlUtils.htmlEscape(userInput);
入库前置净化评论、简介、留言等富文本内容，入库前完成过滤编码，避免存储型 XSS 持久化风险。
接口参数白名单校验采用白名单机制校验参数格式，严格限制输入长度、字符类型，拒绝非法特殊字符。
WAF 规则防护部署硬件 / 应用层 WAF，拦截包含 XSS 特征的请求载荷，作为边界兜底防护。