✨XSS 攻击 👌

XSS(Cross Site Scripting,跨站脚本攻击),是攻击者利用 Web 应用程序的安全漏洞,将在表单提交(评论、用户资料、富文本编辑器)时将恶意脚本注入到可被其他用户访问的页面中的攻击方式。当受害者访问包含恶意脚本的页面时,脚本会在其浏览器执行,导致:

  1. 用户会话劫持(通过窃取 Cookie 或令牌
  2. 敏感数据泄露(获取页面 DOM、本地存储数据)
  3. 恶意操作(伪造用户请求、加密挖矿)
  4. 客户端钓鱼攻击(伪造登录表单
  5. 网站内容篡改(插入恶意内容或重定向)

防御方式

  • 输入过滤:去掉一些危险的标签去掉一些危险的属性
  • HttpOnly Cookies:阻止 document.cookie 访问
  • CSP(内容安全策略):限制脚本执行来源

面试题

介绍 XSS 攻击

参考答案:

XSS 是指跨站脚本攻击。是攻击者利用 Web 应用程序的安全漏洞,将在表单提交时将恶意脚本注入到可被其他用户访问的页面中的攻击方式。当受害者访问包含恶意脚本的页面时,脚本会在其浏览器执行,导致页面遭到破坏,或者用户信息被窃取。

要防范 XSS 攻击,需要采用多层防御策略:

  • 输入验证和过滤(移除或编码危险的 HTML 标签和属性)
  • 设置 HttpOnly Cookie(防止脚本访问敏感 Cookie)
  • 实施 CSP 内容安全策略(限制脚本执行来源)
最近更新::
Contributors: AK