识别并修复 Web 应用中的 XSS 漏洞


跨站点脚本 (XSS) 是一个代码注入漏洞,当开发人员在将用户输入插入 HTML 模板之前未对用户输入进行足够好的审查时,就会在处理 HTML 的应用程序中发生该漏洞。它允许攻击者将任意 JavaScript 代码插入模板并在用户的上下文中执行它:

跨站点脚本在上图中,开发人员未能清理“姓氏”div 的内容,这导致用户能够通过操纵其姓氏来包含恶意脚本。

XSS 常见吗?

尽管许多框架和库为用户提供了摆脱XSS的所有必要工具,但这仍然是Web应用程序中最常见的漏洞之一。它一直出现在 OWASP 顶级 Web 应用程序安全风险列表中,并在 40 年针对欧洲和北美大型企业的 2019% 在线网络攻击中使用。根据HackerOne的说法,XSS漏洞是在漏洞赏金程序中发现的最常见的漏洞类型。

在哪里可以发现 XSS 漏洞?


客户端 XSS
服务器端 XSS
最常见的XSS。它发生在客户端(在浏览器或桌面应用程序中),并且是在将用户提供的数据插入 DOM 之前未正确清理用户提供的数据的结果。 这是非常罕见的,但可能。当服务器将 HTML 文件转换为其他文档(很可能是 PDF)并且库不会将其执行的代码类型列入白名单时,就会发生这种情况。您可以在HackTricks上阅读有关动态PDF漏洞的信息。


简单地说,这是一场灾难。下面列出了攻击者在能够利用客户端上的 XSS 漏洞时可以执行的操作:

  • 远程代码执行(浏览器漏洞利用、CMS 漏洞利用)
  • 会话劫持
  • 绕过 CSRF 保护
  • 键盘记录
  • 强制下载
  • 中间人攻击
  • 各种网络钓鱼:凭据收集、广告劫持(广告注入)、点击劫持、将用户重定向到恶意网站等。
  • 从本地会话网络存储中窃取数据,cookie,索引数据库,页面源代码,截屏
  • DoS 和 DDoS
  • 内容欺骗
  • 转移到隐藏的内部网络中,受防火墙保护:JS可用于主机和端口发现,服务识别和交互(速度极慢)
  • 窃取地理位置,捕获音频,网络摄像头或陀螺仪数据(需要明确许可)
  • 加密挖掘(很难,浏览器会尝试保护用户)


  • 远程代码执行
  • 本地文件包含
  • 服务器端请求伪造
  • 内部路径披露
  • 从结果文档中窃取信息
  • DoS
  • 加密挖矿





我经常听到这样的话,这太荒谬了。是的,攻击者无法使用 JavaScript 窃取仅限 HTTP 的 cookie;但是,他们甚至不需要。XSS的真正危险来自于在当前用户的上下文中执行任意JS的能力。如果攻击者无法窃取cookie并将其附加到从其计算机发出的恶意请求中,他们只会将恶意软件移动到受害者的浏览器中,浏览器将为他们附加cookie。我承认剥削变得更加复杂;但是,对于攻击者来说,它更隐蔽,更安全。

“XSS 是一种非持久性攻击类型#1:我离开易受攻击的页面,这很好”

又错了!一旦攻击者可以将任意JS注入您的浏览器,他们就可以更改应用程序的行为,以便您永远不会离开易受攻击的页面。通过操纵请求/响应和 HTML DOM,它们可以通过在易受攻击的页面上重新呈现新内容来使您看起来像离开了页面。但是,如果用户在地址栏中手动键入他们感兴趣的 URL,则可以击败这种欺骗。

“XSS 是一种非持久性攻击类型#2:我只是离开网站,没问题”


  1. 攻击者必须在前端服务器上写入访问权限
  2. 公开了一个未筛选的 JSONP 终结点

如果攻击者设法注册了恶意服务辅助角色,他们可以无限期地在您的浏览器中保持持久性。Service Worker 可用于嗅探和修改流量(例如,为每个响应提供新的恶意脚本)。查看ShadowWorkers项目了解更多详情。

XSS 有多少种类型?

XSS 表现形式有几种不同的方式。安全专家通常会挑出 3.

基于 DOM 的 XSS。DOM XSS 代表 基于文档对象模型的跨站点脚本。如果 Web 应用程序在未进行适当清理的情况下将数据写入文档对象模型,则可能会发生基于 DOM 的 XSS 攻击。攻击者可以操纵此数据以在网页上包含恶意软件。要点:

  • 通常,基于 DOM 的跨站点脚本攻击是客户端攻击。恶意代码可能永远不会到达服务器。
  • 恶意软件在呈现 HTML 模板后执行;它发生在运行时的某个时间点。

反射的 XSS。当服务器获取请求的一部分并将其插入响应中而未进行适当的审查时,就会发生反射式 XSS。要点:

  • 反射的 XSS 有效负载始终到达服务器;它是请求和响应的一部分。
  • 与基于 DOM 的 XSS 不同,反射式 XSS 有效负载在浏览器呈现 HTML 模板时执行,因为有效负载是响应的一部分,通常嵌入到模板中。

存储的 XSS。当开发人员盲目信任存储在其数据库、Web 缓存、文件等中的数据时,就会发生存储的 XSS。要点:

  • 存储的XSS在某个地方(不一定是数据库)保存了一段时间
  • 有效负载可以在多个页面上执行,并且通常不需要任何用户交互即可触发(与基于 DOM 和反射的 XSS 不同,它们通常通过恶意链接传播并需要用户交互)。

如果我使用 React,那么我安全吗?

令人惊讶的是:React 对 XSS 并不完全安全,尽管它确实试图保护用户免受 XSS 的侵害。有几种方法可以将恶意 JS 注入到 React 应用程序中:

  • React 不会过滤你传递给 props 的内容:

    • href(通过“javascript:”或“data:text/html”URI进行利用)
    • src(通过“javascript:”或“data:text/html”URI进行利用)
    • srcDoc(通过插入恶意 HTML 进行利用)
    • formAction(通过“eval(…任意 js)”)
    • data(通过“javascript:”或“data:text/html”URI进行利用)
  • React 还允许您直接操作 DOM,绕过其限制和保护。你可以通过使用道具来实现这一点。作为“安全预防措施”,每当标签插入 .通过修改 XSS 有效负载可以轻松绕过此保护,例如:dangerouslySetInnerHTML<script>dangerouslySetInnerHTML

    • 使用 或<iframe src=”javascript:eval(...)”/>
    • <img id=’_malware_’ src=’x’ onerror=’eval(this.id)’ />
  • 这种突变允许您将标签注入 DOM<script>
  • 将恶意代码注入 React 应用程序的最后一个已知方法是滥用用户控制的 props 对象。如果攻击者控制了 props 对象的密钥,则他们可能能够通过滥用 、、、、 或使用 对 prop 进行毒害来嵌入漏洞利用。如果用户可以控制插入到 React 树中的 JSX 标签,则尤其危险。hrefsrcsrcDocdataformAction attributesdangerouslySetInnerHTML

如何防止 XSS?


根据Portswigger Web Security Academy的说法,在将用户可控制的数据写入页面之前,应直接应用编码,因为您写入的上下文决定了需要使用哪种编码。例如,JavaScript 字符串中的值需要与 HTML 上下文中的值不同类型的转义。

在 HTML 上下文中,应将未列入白名单的值转换为 HTML 实体:

  • <转换为:&lt;
  • >转换为:&gt;

在 JavaScript 字符串上下文中,非字母数字值应该是 Unicode 转义的:

  • <转换为:u003c
  • >转换为:u003e



  • 如果用户提交 URL,请手动将其强制转换为 URL 类,并验证它是否以安全协议 (HTTP / HTTPS) 开头
  • 如果用户提供的值应为数字,请将其显式转换为数字
  • 验证输入是否仅包含一组预期的字符



允许“安全”的 HTML

最好的选择是使用在用户浏览器中执行过滤和编码的 JavaScript 库,例如 DOMPurify。其他库允许用户以降价格式提供内容并将降价转换为 HTML。不幸的是,所有这些库都会不时出现XSS漏洞,因此这不是一个完美的解决方案。如果您确实使用安全更新,则应密切监视安全更新。

如果你使用的是前端框架,你的另一个选择是将其解析为该框架的元素,就像在 React 中的 JSX 树中一样。有些库可以做到这一点;但是,手动解析它并不难,所以如果你确切地知道你应该渲染哪种 HTML,那么自己做可能会更安全。这样,您肯定会避免危险的道具,事件处理程序和有害的CSS。

使用内容安全策略 (CSP) 缓解 XSS

CSP 是防止跨站点脚本的最后一道防线。如果 XSS 防护失败,可以使用 CSP 通过限制攻击者可以执行的操作来缓解 XSS。 CSP 允许您控制各种内容,例如是否可以加载外部脚本以及是否将执行内联脚本。若要部署 CSP,需要包含一个名为 Content-Security-Policy 的 HTTP 响应标头,其中包含包含策略的值。


default-src 'self'; script-src 'self'; object-src 'none'; frame-src 'none'; base-uri 'none';

此策略指定只能从与主页相同的源加载图像和脚本等资源。因此,即使攻击者可以成功注入 XSS 有效负载,他们也只能从当前源加载资源。




使用服务器端保护(如 Web 应用程序防火墙和入侵防御系统)可以帮助您拒绝发送到服务器的 XSS 有效负载。例如,AWS WAF 和 Snort IPS 具有一组规则来检测最常见的 XSS 有效负载,例如 .此外,IPS 系统附带已知的漏洞利用流量签名;例如,Snort能够检测并破坏CVE-2011-1897 – Microsoft Forefront Unified Access Gateway中的XSS漏洞。‘<script>alert(1)</script>’


如果攻击者能够在评估JS的位置插入JS,那么您无能为力。有许多方法可以使用专用的混淆器或深奥的JS方言(如片假名,JJEncode或JSFuck)对恶意脚本进行编码和变异。考虑以下 JJEncode 片段:


