LOGO 首页 OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 技术文档 其他文档  
 
网站管理员

【Web安全】什么是XSS 跨站脚本

admin
2026年7月18日 0:44 本文热度 26

XSS 跨站脚本(通俗讲解 + 原理 + 分类 + 危害 + 防御)

XSS(跨站脚本攻击):攻击者往网页里植入恶意脚本代码,其他用户访问该页面时,脚本自动在浏览器中执行,进而盗取信息、劫持账号、弹窗钓鱼等。它是 Web 领域最常见的漏洞之一。

一、通俗理解

网站没对用户输入的内容做过滤,你发的文字 / 代码会直接展示并运行

举个生活化例子:论坛、评论区、留言板本是用来发文字,有人偷偷写入浏览器可执行的脚本,所有点开这条内容的人,都会中招。

二、核心原理

网页本质由 HTML/JS 代码组成。正常内容会被浏览器当成文本渲染;若插入恶意JavaScript 代码,浏览器会误把它当成页面代码执行,这就是 XSS 的本质。

极简示例:

正常评论:今天天气不错 

恶意评论:<script>盗取你的cookie</script> 

网站直接把内容输出到页面,访客打开页面,脚本就会运行。

三、三大主流分类(重点)

1. 存储型 XSS(永久型,危害最大)

·流程:恶意代码存入网站数据库(评论、帖子、留言、个人简介等)→ 所有访问该页面的用户都会触发攻击。

·特点:永久生效,传播范围广,是最危险的一类。

·场景:论坛发帖、商品评论、社交动态。

2. 反射型 XSS(临时型,一次性)

·流程:恶意代码放在URL 链接→ 诱导用户点击链接 → 代码临时执行,不会存入数据库。

·特点:单次生效,需要欺骗用户主动点开恶意链接,常被用于钓鱼。

·场景:搜索框、跳转页面、弹窗提示页。

3. DOM 型 XSS

·原理:不经过服务器和数据库,完全靠前端 JS 篡改页面 DOM 结构触发。

·特点:属于前端漏洞,隐蔽性强,服务器日志很难追踪。

四、常见攻击效果

1.盗取Cookie,直接劫持受害者账号,免密登录;

2.弹出恶意广告、钓鱼弹窗,诱导输入账号密码;

3.篡改页面内容、挂黑页、诱导下载木马;

4.窃取浏览器本地信息、截图、监听用户操作。

五、基础防御方案

1.输入过滤:拦截< > " ' script 等特殊标签与字符;

2.输出转义:把用户内容转为纯文本,让浏览器无法解析成代码(最核心手段);

3.设置HttpOnly:禁止 JS 读取 Cookie,大幅降低账号劫持风险;

4.启用 CSP(内容安全策略),限制页面脚本执行权限;

5.前端 + 后端双重校验,不要只依赖前端过滤。

补充(网安学习& 变现)

XSS 和 SQL 注入是Web 安全入门两大核心漏洞,漏洞挖掘、网站安全测试、安全运维、渗透测试接单都会高频用到,也是新手实战练手、积累项目经验的必备知识点。


该文章在 2026/7/18 0:45:06 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2026 ClickSun All Rights Reserved  粤ICP备13012886号-1  粤公网安备44030602007207号