XSS（跨站脚本）

最后修改于 2025 年 4 月 4 日

XSS 定义

XSS（跨站脚本）是一种 Web 安全漏洞，允许攻击者将恶意脚本注入到其他用户查看的网页中。这些脚本在受害者的浏览器上下文中执行，使攻击者能够绕过访问控制并冒充用户。当应用程序在没有适当验证或转义的情况下包含不受信任的数据时，就会发生 XSS 缺陷。根据 OWASP 的说法，此漏洞是 Web 应用程序安全风险的最高类别之一。它可能导致账户劫持、数据盗窃以及用户会话的完全泄露。

“跨站脚本”一词是为了将其与 CSS（层叠样式表）区分开而创造的。尽管有这个名字，XSS 并不总是需要跨站请求——它可以在单个站点内发生。攻击者利用 XSS 来窃取 Cookie、记录击键或将用户重定向到恶意网站。现代 Web 应用程序在动态渲染用户输入而不进行清理时特别容易受到攻击。XSS 仍然普遍存在，因为许多开发人员低估了它的影响或误解了它的机制。

XSS 的更广泛背景

XSS 存在于更广泛的客户端 Web 漏洞景观中，与 CSRF（跨站请求伪造）和 Clickjacking 并列。它代表了同源策略的失败，该策略应该将网站彼此隔离。在当今严重依赖 JavaScript 的 Web 生态系统中，XSS 风险变得更加严峻。单页应用程序 (SPA) 和丰富的客户端功能增加了潜在的攻击面。React 和 Angular 等框架包含 XSS 防护，但错误的配置仍然可能引入漏洞。

除了技术影响之外，XSS 还破坏了用户对 Web 平台的信任。一次成功的攻击可能会危及社交媒体、银行或电子商务网站上的数千个账户。GDPR 和 PCI DSS 等监管框架要求将 XSS 防护作为数据安全要求的一部分。安全研究人员不断发现新的 XSS 变种，使其成为一个持续的挑战。WebAssembly 和复杂的客户端处理的兴起引入了传统防御措施可能忽略的新向量。

XSS 的特点

• 客户端执行 - 恶意代码在受害者的浏览器中运行，而不是在服务器上。
• 上下文相关 - 攻击效果取决于输入在哪里以及如何呈现（HTML、JavaScript、属性）。
• 持久性各不相同 - 一些 XSS 攻击是一次性的（反射型），而另一些则跨会话持久存在（存储型）。
• 绕过同源策略 - 允许攻击者在易受攻击的应用程序中扮演受害者。
• 常与其他攻击结合 - 用作 CSRF、网络钓鱼或数据泄露的跳板。
• 难以检测 - 可能会逃避不执行 JavaScript 的基本安全扫描程序。

XSS 的类型

XSS 攻击根据恶意脚本的传递方式和在 Web 应用程序中的持久性进行分类。每种类型都需要不同的预防策略，并带来独特的风险。了解这些区别有助于开发人员实施有针对性的防御措施。虽然所有 XSS 变种都具有脚本注入的核心概念，但它们的传递机制和影响存在显著差异。下面我们通过示例和典型攻击场景，详细探讨三种主要的 XSS 类型。

反射型 XSS 是最常见的形式，其中恶意脚本包含在请求中并立即在响应中反射回。存储型 XSS 更危险，因为它会持久存储在应用程序的存储中，影响多个用户。基于 DOM 的 XSS 完全在客户端发生，这使得传统的服务器端安全措施更难检测。也存在混合形式，结合了多种类型的元素。下表提供了每种 XSS 类型的属性和示例的详细细分。

类型	描述	示例
反射型 XSS	恶意脚本来自当前的 HTTP 请求，并在响应中立即执行。需要欺骗用户点击精心构造的链接。	https://example.com/search?query=<script>alert(1)</script>
存储型 XSS	恶意脚本存储在服务器上（例如，存储在数据库中），并提供给多个用户。更危险，因为它不需要用户交互。	发布包含脚本标签的评论，该评论会为所有访问者执行。
基于 DOM 的 XSS	漏洞存在于客户端代码而不是服务器代码中。攻击在客户端脚本运行之前操纵 DOM 环境。	document.write(location.hash.slice(1)) 结合 URL，如 #<script>alert(1)</script>

XSS 攻击后果

成功的 XSS 攻击可能给用户和组织带来毁灭性的后果，导致即时和长期的损害。攻击者通常会窃取会话 Cookie，从而无需破解密码即可进行账户接管。这赋予了对用户账户的完全访问权限，包括敏感数据和特权功能。金融应用程序是主要目标，XSS 可能有助于欺诈性交易。社交媒体平台在攻击者通过受损账户传播恶意内容时，会面临声誉损害。

除了会话劫持，XSS 还允许键盘记录以捕获密码和敏感输入。攻击者可以篡改网站、注入网络钓鱼表单或重定向到恶意网站。高级攻击将 XSS 用作利用浏览器漏洞或内部网络的立足点。对于企业来说，XSS 泄露通常会触发监管处罚和客户信任的损失。根据最近的研究，涉及 XSS 的数据泄露的平均成本超过 400 万美元。

预防最佳实践

• 输入验证 - 针对允许的字符和模式的严格允许列表验证所有用户输入。
• 输出编码 - 在呈现之前，根据上下文对数据进行编码（HTML、JavaScript、URL、CSS 编码）。
• 内容安全策略 (CSP) - 实现 CSP 标头以限制脚本源和内联执行。
• 使用安全框架 - 利用默认自动转义的模板系统（React、Angular、Vue）。
• HTTP-only Cookie - 将会话 Cookie 标记为 HTTP-only，以防止 JavaScript 访问。
• 定期安全测试 - 对 XSS 漏洞进行自动化扫描和手动渗透测试。

来源

OWASP XSS

在本文中，我们深入探讨了 XSS（跨站脚本），探讨了其定义、背景、特点、类型、后果和预防技术。本综合指南为读者提供了识别和减轻 Web 应用程序中 XSS 风险的知识。

作者

我叫 Jan Bodnar，是一名充满热情的程序员，拥有丰富的编程经验。我自 2007 年以来一直在撰写编程文章，分享关于语言、框架和最佳实践的见解。迄今为止，我已撰写了 1400 多篇文章和 8 本电子书，涵盖了从初学者教程到高级开发技术的各种主题。凭借十多年的编程教学经验，我致力于让复杂概念对学习者和专业人士来说既易于理解又实用。

所有安全术语列表。