什么是XSS攻击？XSS攻击有哪些类型？

封面图 • 2025-11-22 • PHP

XSS（**跨站脚本攻击**，Cross-Site Scripting）是一种常见的Web安全漏洞，攻击者通过在网页中注入恶意脚本（通常是JavaScript），当其他用户浏览该页面时，这些脚本会在用户的浏览器中执行，从而窃取用户信息、劫持用户会话或进行其他恶意行为。

---

## 一、什么是XSS攻击？

XSS攻击的核心是**利用网站对用户输入内容的过滤不严**，将恶意脚本嵌入到网页中。当其他用户访问该网页时，脚本会在他们的浏览器中运行，从而达到攻击的目的。

例如：
- 攻击者在论坛留言中插入一段恶意JS代码。
- 当其他用户查看这条留言时，这段JS代码会在他们的浏览器中运行，可能盗取他们的Cookie或执行其他操作。

---

## 二、XSS攻击的类型

XSS攻击主要分为以下三种类型：

### 1. **反射型 XSS（Non-Persistent XSS）**

- **特点**：攻击脚本通过URL参数传递，服务器将脚本反射回客户端，浏览器执行。
- **攻击方式**：攻击者诱导用户点击一个包含恶意脚本的链接（如伪装成正常链接的钓鱼链接）。
- **示例**：
  ```
  https://example.com/search?q=<script>alert('XSS')</script>
  ```
  如果网站没有过滤这个参数，用户访问该链接时就会触发脚本。
- **危害**：通常用于钓鱼、窃取Cookie等。

### 2. **存储型 XSS（Persistent XSS）**

- **特点**：恶意脚本被存储在服务器端（如数据库、评论区、用户资料等），当其他用户访问相关页面时，脚本会被加载并执行。
- **攻击方式**：攻击者将恶意脚本提交到网站的某个地方（如留言板、个人资料等），之后所有访问该页面的用户都会受到攻击。
- **示例**：在论坛发帖时插入恶意脚本，其他用户查看帖子时自动执行。
- **危害**：影响范围大，危害严重，常用于窃取用户信息、传播恶意软件等。

### 3. **DOM型 XSS（Document Object Model XSS）**

- **特点**：攻击发生在客户端，不依赖服务器端返回的内容，而是通过修改页面的DOM结构来注入脚本。
- **攻击方式**：攻击者通过URL参数或用户输入修改页面的DOM，导致脚本执行。
- **示例**：
  ```javascript
  window.location.hash = "javascript:alert('XSS')";
  ```
  如果前端代码没有正确处理hash值，就可能执行恶意脚本。
- **危害**：隐蔽性强，不容易被传统WAF检测到。

---

## 三、如何防范XSS攻击？

1. **对用户输入进行过滤和转义**：对所有用户输入的内容进行HTML实体转义（如 `<` → `&lt;`，`>` → `&gt;`）。
2. **使用安全的库/框架**：如使用Vue、React等现代前端框架，它们通常内置了防止XSS的安全机制。
3. **设置HTTP头中的Content-Security-Policy (CSP)**：限制页面只能加载指定来源的脚本，防止恶意脚本执行。
4. **避免使用`eval()`、`innerHTML`等危险方法**。
5. **对富文本内容进行严格过滤**：如果允许用户输入HTML，应使用白名单机制，只允许特定标签和属性。

---

## 四、总结

| 类型 | 是否持久 | 是否需要服务器响应 | 危害程度 |
|------|----------|---------------------|-----------|
| 反射型 XSS | 否 | 是 | 中等 |
| 存储型 XSS | 是 | 是 | 高 |
| DOM型 XSS | 否 | 否 | 高 |

---

如果你有具体的应用场景（比如前端开发、后端开发、Web应用安全等），我可以进一步给出针对性的防御建议。