1
XSS 防护:XSS 防护框架与库介绍
1 XSS 基础概念
1.1 XSS 攻击类型详解
XSS(Cross Site Scripting)攻击主要分为三种类型:存储型 XSS、反射型 XSS
和 DOM 型 XSS。
1.1.1 存储型 XSS
存储型 XSS 攻击,也称为持久型 XSS,是指攻击者将恶意脚本存储在目标
服务器的数据库中,当用户访问含有恶意脚本的页面时,恶意脚本会被加载并
执行。这种类型的 XSS 攻击通常发生在用户可以提交内容的网站上,如论坛、
博客等。
1.1.1.1 示例
假设一个论坛网站,用户可以发布帖子。如果网站没有对用户提交的内容
进行适当的过滤和编码,攻击者可以提交如下恶意脚本:
<!--
攻击者提交的恶意脚本
-->
<script>
//
当页面加载时,执行恶意脚本
document.write("<img src=x onerror=alert('XSS Attack!')>");
</script>
当其他用户浏览这个帖子时,恶意脚本将被执行,弹出警告框,这仅是一
个简单的示例,实际攻击可能包括窃取用户信息、重定向到恶意网站等。
1.1.2 反射型 XSS
反射型 XSS 攻击,也称为非持久型 XSS,是指攻击者通过 URL 参数、表单
提交等方式,将恶意脚本注入到目标网站的页面中,当用户访问这个特定的
URL 或提交表单时,恶意脚本会被反射回用户的浏览器并执行。
1.1.2.1 示例
假设一个网站的搜索功能,没有对用户输入进行适当的过滤。攻击者可以
构造如下 URL:
http://example.com/search?query=<script>alert('XSS Attack!');</script>
当用户点击这个链接时,恶意脚本将被浏览器执行,弹出警告框。
剩余15页未读,继续阅读
资源评论
