注入攻击和 XSS 攻击，谁在偷你的数据？

开场白

想象一下，有两种"小偷"在你的数字世界里游荡：一个直接撬开服务器的大门，翻遍你的数据库；另一个悄悄在用户的浏览器桌子上放了个"恶作剧"，等你一点击就上钩。到底是谁在盯着你的秘密？今天，我们就来简单轻松扒一扒注入攻击和XSS攻击的区别。

特性对比

特性	注入攻击（Injection Attack）	跨站脚本攻击（XSS）
攻击目标	服务器或后台数据库	用户浏览器
常见形式	SQL注入、命令注入、模板注入	存储型 XSS、反射型 XSS、DOM XSS
攻击手段	利用程序对输入验证不足，把恶意代码送到服务器执行	利用网页对用户输入输出没做安全处理，把 JS 注入到页面执行
后果	数据泄露、篡改、后台被控制	用户被盗 Cookie、页面被篡改、钓鱼欺诈
举例	' OR 1=1 -- 直接改数据库查询	<script>alert('你被抓了')</script> 弹窗或窃取 Cookie
通俗比喻	"像小偷拿着开锁工具直接撬开银行的保险箱"	"像在同事的电脑上偷偷放个假的"重要文件"，一打开就弹出恶作剧窗口"

简单记忆法：

• 注入攻击：打到服务器 → 控制数据库/后台
• XSS攻击：打到用户 → 控制浏览器/页面

什么是注入攻击（Injection Attack）？

注入攻击是指攻击者向系统发送恶意数据，让系统把这些数据当作代码或命令执行，从而达到篡改、获取数据或者破坏系统的目的。

前端常见注入点示例及防护

注入入口	风险说明	防护措施	示例代码	事件说明
URL 参数 / 查询字符串	用户可通过 URL 注入恶意 SQL 或命令	对后端接收到的参数严格校验，使用参数化查询或 ORM	http://example.com/page?id=1; DROP TABLE users	攻击者在 URL 上直接添加恶意指令，后端若未防护会执行
表单输入	用户输入可能被直接拼接进 SQL 或命令执行	服务端使用参数化查询，前端做长度和格式校验	username: ' OR 1=1 --	用户在登录表单输入特制字符，可能绕过验证或破坏数据库
Cookie / LocalStorage / SessionStorage	前端存储的数据被篡改，后端解析时可能执行危险操作	数据签名/加密，后端解析前验证完整性和类型	{"name":"test', DROP TABLE users;--"}	用户或恶意脚本修改本地存储数据，后台处理时被利用
动态生成命令	用户输入直接进入 JS 执行，可能执行任意 JS	避免使用 eval / new Function，严格校验和转义输入	eval("doSomething(" + userInput + ")")	攻击者输入代码段，被前端 eval 执行，可能盗取数据或篡改页面
模板拼接	用户输入直接拼接 SQL 或命令	使用参数化 API 或安全模板引擎接口	var sql = "SELECT * FROM users WHERE name='" + input + "'";	开发者直接拼接字符串生成 SQL，攻击者输入特殊字符触发命令执行

什么是跨站脚本攻击（XSS, Cross-Site Scripting）？

XSS是指攻击者在网页中注入恶意脚本（通常是JavaScript），当其他用户访问网页时，恶意脚本被执行，从而窃取用户数据、篡改页面、劫持会话等。

前端常见注入点示例及防护

注入入口	风险说明	防护措施	示例代码	事件说明
<input> / <textarea>	用户可输入任意文本，容易被用于 XSS 注入	- 对输入内容进行严格过滤或转义 - 使用白名单或正则校验 - 渲染时使用 textContent 或 Vue 自动转义	HTML: <input id="username"> JS: document.getElementById('output').innerHTML = input.value;	用户通过键盘输入文本内容，可能包含 <script> 或 HTML 标签，被执行
<select> / <radio> / <checkbox>	如果选项动态生成或允许自定义输入，则有风险	- 确保选项来源可信 - 对动态生成的选项内容进行过滤	动态生成 select: select.innerHTML = '<option>' + userInput + '</option>';	用户选择的值被动态渲染，若来源不可信可能被注入
富文本编辑器（WYSIWYG）	用户可输入 HTML/Markdown，容易注入脚本	- 使用 DOMPurify 等消毒库 - 严格白名单允许标签与属性	示例: editor.innerHTML = userInput; 安全: editor.innerHTML = DOMPurify.sanitize(userInput);	用户输入 <img src=x onerror=alert(1)> 或 <script>，渲染时触发 JS
URL 参数 / 查询字符串	数据通过 location.search 或路由参数读取并渲染	- URL 解码后验证 - 渲染时自动转义	示例: const name = new URLSearchParams(location.search).get('name'); document.getElementById('output').textContent = name;	用户通过修改 URL 参数注入脚本，如 ?name=<script>alert(1)</script>
Cookie / LocalStorage / SessionStorage	存储不安全数据，渲染时可能被执行	- 对读取内容进行过滤或转义 - 不存储可执行脚本	示例: localStorage.setItem('data', userInput); document.getElementById('output').innerHTML = localStorage.getItem('data');	数据可能包含 HTML/JS，渲染时执行脚本
文件上传	上传的文件中可能包含 HTML/JS，被渲染或预览时执行	- 限制文件类型 - 不直接渲染 HTML - 图片使用安全预览方式	示例: <img src="uploaded_file.html"> → 不安全 <img src="uploaded_file.png"> → 安全	用户上传的 HTML/JS 文件被直接当 HTML 渲染触发 XSS
动态生成的 DOM (innerHTML)	直接插入 HTML，容易被注入脚本	- 尽量用 textContent 或 Vue/React 自动转义 - 对必须插入的 HTML 使用消毒库	示例: div.innerHTML = userInput; → 不安全 div.textContent = userInput; → 安全	页面动态生成内容时，若包含用户输入，可能执行 JS
属性绑定 (href, src, style)	用户可注入 javascript: 或 CSS 表达式	- 对 URL/路径严格校验 - 避免直接插入可执行表达式	示例: a.href = userInput; → 可能 javascript:alert(1) a.href = encodeURI(userInput); → 安全	用户输入被绑定到链接或样式属性上，可能触发执行
事件处理器 (onclick, onmouseover)	动态绑定用户输入为事件内容容易执行 JS	- 不直接绑定用户输入为事件 - 使用框架推荐事件绑定	示例: element.setAttribute('onclick', userInput); → 不安全 element.addEventListener('click', safeFunction); → 安全	用户输入可能被设置为事件处理函数内容，页面执行时触发 JS

什么是 textContent / Vue 自动转义？

textContent : 是浏览器原生DOM API，用于设置或获取元素的文本内容。 它会把任何字符串当作纯文本处理，而不会把<script>或HTML标签当作可执行内容。 换句话说，即使用户输入了 <img src=x onerror=alert(1)>，使用 textContent 渲染时也只会显示为普通文本，不会执行JS。

Vue 自动转义 : Vue的模板语法 {{ value }} 会自动帮你把绑定的数据进行 HTML转义。它会把 <、>、& 等特殊字符转换成HTML实体（如 < → <），从而避免XSS。如果你使用 v-html，则不会转义，需要手动消毒。

数据安全小结

注入攻击（Injection Attack）

就像有人拿着"万能钥匙"直接闯进你的资料仓库，不仅可以把重要文件搬走，还可能偷偷改掉记录。

⚠️ 提醒：这个钥匙通常是你自己粗心留下的漏洞，所以锁好门、不要随意拼接命令，是防护关键。

XSS 攻击（Cross-Site Scripting）

就像有人在你前台的留言板或文件堆里偷偷塞了一张小纸条，你一不小心读了，就把秘密悄悄告诉了他。

⚠️ 提醒：前台看起来无害，但纸条可能是"恶意脚本"，过滤输入、转义输出是防护法宝。

💡"小偷"可能总想偷东西，但只要"仓库门锁紧""前台干净整洁"，你的数据就能安安心心。 记住：别给万能钥匙，别随便读陌生纸条。