XSS新攻击的深入剖析与系统化防御策略

前言

XSS（跨站脚本攻击）挖掘已不再局限于传统的三种基础类型（反射型、存储型和DOM型）。现代Web应用中存在更多隐藏在其他场景中的XSS漏洞，这些往往容易被开发者忽略。本文将从代码层面详细分析漏洞成因，并介绍当前XSS的各种修复手法。

其他常见XSS场景

模板渲染场景

许多CMS系统中存在模板渲染导致的XSS漏洞：

th:text：用于展示纯文本，会对特殊字符进行转义
th:utext：不进行转义，直接展示原始HTML内容

当后端传来的参数包含HTML标签时：

th:text不会解析这些标签
th:utext会解析并渲染它们

这与Vue中的v-text和v-html指令行为类似。

文件上传XSS

文件上传功能中的XSS风险主要存在于以下文件类型：

HTML文件：直接插入恶意脚本即可
```
<script>alert(1)</script>
```

SVG文件：可以解析<script>标签

<svg xmlns="http://www.w3.org/2000/svg" onload="alert(1)"/>

XML文件：需要解析XML才能触发，实际利用较困难
PDF文件：某些PDF阅读器存在XSS漏洞

组件漏洞

jQuery XSS漏洞

CVE-2020-11022：

影响$().html()方法
允许通过不受信任的HTML代码执行恶意JavaScript
可插入<script>、<iframe>、onerror等危险标签绕过安全检查

CVE-2020-11023：

影响$().html()方法在SVG元素中的处理
允许注入恶意JavaScript导致XSS

Swagger UI XSS漏洞（CVE-2023-38418）

API文档的description、operationId、summary、contact等字段可被插入恶意HTML/JavaScript代码
Swagger UI渲染这些字段时未对HTML进行适当转义

攻击示例：通过远程YAML文件加载恶意代码

# https://jumpy-floor.surge.sh/test.yaml
description: <script>alert(1)</script>

漏洞修复策略

白名单过滤

XSS的本质是需要各种标签去解析，限制输入内容可有效防御：

前端过滤：
- 仅允许输入字母、数字、下划线和空格
- 但仅前端过滤可被绕过（如通过抓包修改请求）
后端过滤：
- 无论前端输入还是抓包修改，都会被拦截
- 必须实现后端数据验证和过滤

CSP（内容安全策略）

内容安全策略是由浏览器实施的安全机制，通过HTTP头或<meta>标签指定：

核心指令：

default-src：默认内容加载来源
script-src：允许加载JavaScript的来源
style-src：允许加载样式表的来源
img-src：允许加载图片的来源
connect-src：允许发送请求的来源（AJAX、WebSocket等）

示例配置：

Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self'; img-src 'self'; connect-src 'self'

此配置限制所有资源只能来自同源，阻止外部恶意资源加载。

特殊字符实体转义

对用户输入进行HTML实体转义：

function htmlEscape(str) {
  return str.replace(/&/g, '&amp;')
            .replace(/</g, '&lt;')
            .replace(/>/g, '&gt;')
            .replace(/"/g, '&quot;')
            .replace(/'/g, '&#39;');
}

输入<script>alert(1)</script>将被转义为：

&lt;script&gt;alert(1)&lt;/script&gt;

HttpOnly Cookie

设置HttpOnly标志可防止JavaScript读取Cookie：

即使XSS攻击成功，也无法窃取Cookie
配置方法：
1. PHP: session.cookie_httponly = 1
2. Java: response.setHeader("Set-Cookie", "JSESSIONID=...; HttpOnly")
3. .NET: <httpCookies httpOnlyCookies="true" />

测试示例：

alert(document.cookie); // 无法获取设置了HttpOnly的Cookie

总结

现代XSS攻击已发展出多种新型利用场景，防御策略需要系统化：

严格输入验证（前后端双重过滤）
合理使用模板引擎的安全特性
文件上传严格限制类型和内容检查
及时更新第三方组件修复已知漏洞
实施CSP策略限制资源加载
关键Cookie设置HttpOnly标志
对所有动态内容进行适当的转义处理

通过多层次防御策略，可有效降低XSS攻击风险。

XSS新攻击的深入剖析与系统化防御策略前言 XSS（跨站脚本攻击）挖掘已不再局限于传统的三种基础类型（反射型、存储型和DOM型）。现代Web应用中存在更多隐藏在其他场景中的XSS漏洞，这些往往容易被开发者忽略。本文将从代码层面详细分析漏洞成因，并介绍当前XSS的各种修复手法。其他常见XSS场景模板渲染场景许多CMS系统中存在模板渲染导致的XSS漏洞： th:text ：用于展示纯文本，会对特殊字符进行转义 th:utext ：不进行转义，直接展示原始HTML内容当后端传来的参数包含HTML标签时： th:text 不会解析这些标签 th:utext 会解析并渲染它们这与Vue中的 v-text 和 v-html 指令行为类似。文件上传XSS 文件上传功能中的XSS风险主要存在于以下文件类型： HTML文件：直接插入恶意脚本即可 SVG文件：可以解析 <script> 标签 XML文件：需要解析XML才能触发，实际利用较困难 PDF文件：某些PDF阅读器存在XSS漏洞组件漏洞 jQuery XSS漏洞 CVE-2020-11022 ：影响 $().html() 方法允许通过不受信任的HTML代码执行恶意JavaScript 可插入 <script> 、 <iframe> 、 onerror 等危险标签绕过安全检查 CVE-2020-11023 ：影响 $().html() 方法在SVG元素中的处理允许注入恶意JavaScript导致XSS Swagger UI XSS漏洞（CVE-2023-38418） API文档的 description 、 operationId 、 summary 、 contact 等字段可被插入恶意HTML/JavaScript代码 Swagger UI渲染这些字段时未对HTML进行适当转义攻击示例：通过远程YAML文件加载恶意代码漏洞修复策略白名单过滤 XSS的本质是需要各种标签去解析，限制输入内容可有效防御：前端过滤：仅允许输入字母、数字、下划线和空格但仅前端过滤可被绕过（如通过抓包修改请求）后端过滤：无论前端输入还是抓包修改，都会被拦截必须实现后端数据验证和过滤 CSP（内容安全策略）内容安全策略是由浏览器实施的安全机制，通过HTTP头或 <meta> 标签指定：核心指令： default-src ：默认内容加载来源 script-src ：允许加载JavaScript的来源 style-src ：允许加载样式表的来源 img-src ：允许加载图片的来源 connect-src ：允许发送请求的来源（AJAX、WebSocket等）示例配置：此配置限制所有资源只能来自同源，阻止外部恶意资源加载。特殊字符实体转义对用户输入进行HTML实体转义：输入 <script>alert(1)</script> 将被转义为： HttpOnly Cookie 设置 HttpOnly 标志可防止JavaScript读取Cookie：即使XSS攻击成功，也无法窃取Cookie 配置方法： PHP: session.cookie_httponly = 1 Java: response.setHeader("Set-Cookie", "JSESSIONID=...; HttpOnly") .NET: <httpCookies httpOnlyCookies="true" /> 测试示例：总结现代XSS攻击已发展出多种新型利用场景，防御策略需要系统化：严格输入验证（前后端双重过滤）合理使用模板引擎的安全特性文件上传严格限制类型和内容检查及时更新第三方组件修复已知漏洞实施CSP策略限制资源加载关键Cookie设置HttpOnly标志对所有动态内容进行适当的转义处理通过多层次防御策略，可有效降低XSS攻击风险。