跨站点脚本 （XSS）

跨站点脚本 （XSS） 是客户端代码注入攻击。攻击者旨在通过在合法的网页或 Web 应用程序中包含恶意代码，在受害者的 Web 浏览器中执行恶意脚本。当受害者访问执行恶意代码的网页或 Web 应用程序时，将发生实际攻击。网页或 Web 应用程序成为向用户浏览器传递恶意脚本的工具。通常用于跨站点脚本攻击的易受攻击的车辆是允许注释的论坛、留言板和网页。

如果网页或 Web 应用程序在生成的输出中使用未消毒的用户输入，它很容易受到 XSS 的影响。然后，受害者的浏览器必须分析此用户输入。XSS 攻击在 VBScript、ActiveX、闪存甚至 CSS 中是可能的。但是，它们在 JavaScript 中是最常见的，主要是因为 JavaScript 是大多数浏览体验的基本内容。

跨站点脚本不是用户的问题吗？

如果攻击者可以滥用网页上的 XSS 漏洞在用户的浏览器中执行任意 JavaScript，则该易受攻击的网站或易受攻击的 Web 应用程序及其用户的安全已受到损害。XSS 不像任何其他安全漏洞那样是用户的问题。如果它影响您的用户，它会影响您。

跨站点脚本也可用于污损网站，而不是以用户为目标。攻击者可以使用注入的脚本更改网站内容，甚至将浏览器重定向到另一个网页，例如包含恶意代码的网页。

攻击者可以使用 JavaScript 做什么？

XSS 漏洞被认为比 SQL 注入漏洞危险性要小。在网页上执行 JavaScript 的能力的后果一开始可能看起来并不可怕。大多数 Web 浏览器在严格控制的环境中运行 JavaScript。JavaScript 对用户的操作系统和用户文件的访问权限有限。但是，如果作为恶意内容的一部分被误用，JavaScript 仍然可能很危险：

• 恶意 JavaScript 有权访问网页其余部分有权访问的所有对象。这包括访问用户的 Cookie。Cookie 通常用于存储会话令牌。如果攻击者可以获取用户的会话 Cookie，他们可以模拟该用户，代表用户执行操作，并访问用户的敏感数据。
• JavaScript 可以读取浏览器 DOM 并任意修改它。幸运的是，这只能在运行 JavaScript 的页面中实现。
• JavaScript 可以使用 对象将具有任意内容的 HTTP 请求发送到任意目标。XMLHttpRequest
• 现代浏览器中的 JavaScript 可以使用 HTML5 API。例如，它可以从用户的文件系统访问用户的地理位置、网络摄像头、麦克风，甚至特定文件。这些 API 中大多数都需要用户选择加入，但攻击者可以使用社交工程来绕过这一限制。

上述内容与社会工程相结合，允许犯罪分子进行高级攻击，包括 Cookie 盗窃、种植木马、密钥记录、网络钓鱼和身份盗窃。XSS 漏洞为将攻击升级为更严重的攻击提供了完美的基础。跨站点脚本也可以与其他类型的攻击结合使用，例如，跨站点请求伪造 （CSRF）。

有几种类型的跨站点脚本攻击：存储/持久 XSS、反射/非持久性 XSS和基于 DOM的 XSS。您可以在一篇题为"XSS类型"的文章中阅读更多关于它们的文章。

跨站点脚本的工作原理

典型的 XSS 攻击有两个阶段：

1. 若要在受害者的浏览器中运行恶意 JavaScript 代码，攻击者必须首先找到一种将恶意代码（有效负载）注入受害者访问的页面的方法。
2. 之后，受害者必须访问包含恶意代码的网页。如果攻击针对特定受害者，攻击者可以使用社交工程和/或网络钓鱼向受害者发送恶意 URL。

为了可能执行第 1 步，易受攻击的网站需要在其页面中直接包含用户输入。然后，攻击者可以插入将在网页中使用的恶意字符串，并将其视为受害者的浏览器的源代码。XSS 攻击也有一些变体，攻击者使用社交工程诱使用户访问 URL，而有效负载是用户单击的链接的一部分。

以下是服务器端伪代码的代码段，用于在网页上显示最新的注释：

上述脚本只是从数据库中删除最新的注释，并包含在 HTML 页面中。它假定打印出的注释仅包含文本，不包含 HTML 标记或其他代码。它容易受到 XSS 的攻击，因为攻击者可能会提交包含恶意负载的注释，例如：

Web 服务器向访问此网页的用户提供以下 HTML 代码：

当页面在受害者的浏览器中加载时，攻击者的恶意脚本将执行。多数情况下，受害者没有意识到这一点，无法防止这种攻击。

使用 XSs 窃取饼干

犯罪分子经常使用 XSS 窃取饼干。这允许他们冒充受害者。攻击者可以通过多种方式将 Cookie 发送到自己的服务器。其中之一是执行以下客户端脚本在受害者的浏览器中：