什么是 XSS 攻击，如何避免？

八股文_JavaWeb面试题 0 21

参考回答

XSS（Cross-Site Scripting）攻击是一种通过在Web页面中注入恶意脚本（通常是JavaScript）来执行攻击的方式。攻击者通过向Web应用程序注入恶意代码，当其他用户访问该页面时，恶意脚本会在他们的浏览器中执行，从而窃取用户信息、篡改页面内容，甚至进行恶意操作。

防止XSS攻击的常见方法有：
1. 输入过滤和输出编码：对用户输入进行严格验证，避免恶意脚本通过输入传入。同时，对输出的内容进行编码，确保恶意脚本不能被浏览器执行。
2. 使用HTTPOnly和Secure标志保护Cookie：通过HTTPOnly标志限制JavaScript访问Cookie，防止Cookie被恶意脚本窃取。
3. 内容安全策略（CSP）：使用CSP限制网页可以加载的外部资源，防止恶意脚本从外部加载并执行。
4. 避免直接插入未处理的用户数据：在网页上显示用户数据时，避免直接插入未经处理的HTML或JavaScript。

详细讲解与拓展

XSS（Cross-Site Scripting）是一种通过在Web页面中注入恶意代码来进行攻击的方式。攻击者通过向Web应用程序注入恶意脚本，通常是JavaScript脚本，这些脚本会在其他用户的浏览器中执行，从而引发数据泄露、页面篡改等恶意操作。XSS攻击可以分为三种类型：反射型XSS、存储型XSS和DOM型XSS。

1. 反射型XSS

反射型XSS通常发生在用户输入的数据直接反射到Web页面中，并在浏览器中执行。例如，攻击者通过构造恶意链接，诱使用户点击，该链接中的恶意脚本会被反射回Web页面并执行。

示例：

<form method="GET" action="/search">
    <input type="text" name="query">
    <input type="submit">
</form>

如果应用没有对query参数进行适当的过滤，恶意用户可以构造如下的URL并将其发送给受害者：

http://example.com/search?query=<script>alert('XSS')</script>

点击链接后，恶意脚本<script>alert('XSS')</script>将在浏览器中执行，导致弹出警告框。

2. 存储型XSS

存储型XSS是攻击者将恶意脚本存储到服务器的数据库中，当其他用户请求该资源时，恶意脚本会从数据库中取出并执行。

示例：
攻击者提交一个包含恶意脚本的评论到网站评论系统：

<script>alert('XSS')</script>

该脚本会存储在数据库中，当其他用户查看该评论时，恶意脚本会执行。

3. DOM型XSS

DOM型XSS发生在浏览器端，攻击者通过操控客户端JavaScript代码中的DOM结构来注入恶意代码。与前两种类型的XSS不同，DOM型XSS不依赖于服务器的响应，而是通过修改客户端页面的DOM结构来执行恶意脚本。

示例：

document.getElementById("userInput").innerHTML = location.hash;

如果用户访问如下URL：

http://example.com#<script>alert('XSS')</script>

JavaScript会将<script>alert('XSS')</script>插入到页面中，导致脚本执行。

防止XSS攻击的措施：

输入过滤和输出编码：
- 输入过滤：在处理用户输入时，进行严格的输入验证，确保输入内容符合预期格式，避免恶意代码被注入。对于HTML特殊字符（如<, >, ', "等）进行转义，使其无法被浏览器解析为HTML标签或JavaScript代码。
- 输出编码：对所有输出的数据进行HTML编码，确保浏览器将数据视为文本而不是可执行的代码。例如，使用<来代替<，使用>代替>，避免脚本执行。

例子：

String safeOutput = StringEscapeUtils.escapeHtml4(userInput);
response.getWriter().write(safeOutput);

使用HTTPOnly和Secure标志保护Cookie：
- HTTPOnly：该标志可以防止JavaScript访问Cookie，防止XSS攻击窃取Cookie信息。
- Secure：该标志要求Cookie只能通过HTTPS协议传输，防止Cookie被中间人攻击窃取。

例子：

Cookie cookie = new Cookie("session", "value");
cookie.setHttpOnly(true);
cookie.setSecure(true);
response.addCookie(cookie);

内容安全策略（CSP）：
内容安全策略（CSP）是一种浏览器安全机制，它可以限制网页加载的内容来源，减少XSS攻击的风险。通过CSP，开发者可以指定允许加载的JavaScript源，禁止从不可信的来源加载脚本。

例子：

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'">

通过此策略，浏览器仅允许加载当前域名下的JavaScript文件，防止从第三方站点加载恶意脚本。

避免直接插入未处理的用户数据：
在动态生成页面时，尽量避免直接插入用户提供的数据。无论是生成HTML、JavaScript还是CSS代码，都需要确保输入的内容不会导致意外执行。

例子：
– 在插入用户输入到HTML中时，要进行转义。
– 使用模板引擎（如Thymeleaf、JSP）时，它们通常会自动对输出进行转义，减少XSS攻击的风险。

总结：
XSS攻击通过注入恶意脚本到Web页面中执行，可能导致数据泄露、页面篡改等安全问题。为了防止XSS攻击，可以采取严格的输入验证和输出编码策略、使用HTTPOnly和Secure标志保护Cookie、应用内容安全策略（CSP）以及避免直接插入用户数据。通过这些措施，可以显著降低Web应用受到XSS攻击的风险。