【Web安全】什么是XSS 跨站脚本
当前位置:点晴教程→知识管理交流
→『 技术文档交流 』
XSS 跨站脚本(通俗讲解 + 原理 + 分类 + 危害 + 防御)XSS(跨站脚本攻击):攻击者往网页里植入恶意脚本代码,其他用户访问该页面时,脚本自动在浏览器中执行,进而盗取信息、劫持账号、弹窗钓鱼等。它是 Web 领域最常见的漏洞之一。 一、通俗理解网站没对用户输入的内容做过滤,你发的文字 / 代码会直接展示并运行。 举个生活化例子:论坛、评论区、留言板本是用来发文字,有人偷偷写入浏览器可执行的脚本,所有点开这条内容的人,都会中招。 二、核心原理网页本质由 HTML/JS 代码组成。正常内容会被浏览器当成文本渲染;若插入恶意JavaScript 代码,浏览器会误把它当成页面代码执行,这就是 XSS 的本质。 极简示例: 正常评论:今天天气不错 恶意评论:<script>盗取你的cookie</script> 网站直接把内容输出到页面,访客打开页面,脚本就会运行。 三、三大主流分类(重点)1. 存储型 XSS(永久型,危害最大)·流程:恶意代码存入网站数据库(评论、帖子、留言、个人简介等)→ 所有访问该页面的用户都会触发攻击。 ·特点:永久生效,传播范围广,是最危险的一类。 ·场景:论坛发帖、商品评论、社交动态。 2. 反射型 XSS(临时型,一次性)·流程:恶意代码放在URL 链接里→ 诱导用户点击链接 → 代码临时执行,不会存入数据库。 ·特点:单次生效,需要欺骗用户主动点开恶意链接,常被用于钓鱼。 ·场景:搜索框、跳转页面、弹窗提示页。 3. DOM 型 XSS·原理:不经过服务器和数据库,完全靠前端 JS 篡改页面 DOM 结构触发。 ·特点:属于前端漏洞,隐蔽性强,服务器日志很难追踪。 四、常见攻击效果1.盗取Cookie,直接劫持受害者账号,免密登录; 2.弹出恶意广告、钓鱼弹窗,诱导输入账号密码; 3.篡改页面内容、挂黑页、诱导下载木马; 4.窃取浏览器本地信息、截图、监听用户操作。 五、基础防御方案1.输入过滤:拦截< > " ' script 等特殊标签与字符; 2.输出转义:把用户内容转为纯文本,让浏览器无法解析成代码(最核心手段); 3.设置HttpOnly:禁止 JS 读取 Cookie,大幅降低账号劫持风险; 4.启用 CSP(内容安全策略),限制页面脚本执行权限; 5.前端 + 后端双重校验,不要只依赖前端过滤。 补充(网安学习& 变现)XSS 和 SQL 注入是Web 安全入门两大核心漏洞,漏洞挖掘、网站安全测试、安全运维、渗透测试接单都会高频用到,也是新手实战练手、积累项目经验的必备知识点。 该文章在 2026/7/18 0:45:06 编辑过 |
关键字查询
相关文章
正在查询... |