反射型XSS注入

浩~~2026-03-25 21:49

反射型 XSS 漏洞实验报告

一、实验目的

  1. 理解反射型 XSS 漏洞的原理与形成原因。
  2. 掌握反射型 XSS 的测试方法Payload 构造
  3. 验证无过滤直接输出用户输入的安全风险。
  4. 学会查看网页源代码确认漏洞。

二、实验环境

  • 系统:Windows / Linux
  • Web 环境:PHP + Apache
  • 浏览器:Chrome / Firefox
  • 测试文件:xss1.html、xss1.php、xss_get.php

三、实验原理(超级重点)

✅ 反射型 XSS 是什么?

反射型 XSS = 非持久型 XSS 攻击者构造恶意链接 → 用户点击 → 服务器不过滤、不检查,直接把恶意代码 "反射" 回页面 → 浏览器执行代码 → 漏洞触发。

🚨 漏洞根本原因

用户输入未过滤 + 直接输出到 HTML 页面

四、实验内容与步骤(完整代码 + 操作)

实验一:GET 方式反射型 XSS 测试

1. 创建漏洞文件:xss_get.php
复制代码 
<?php
// 直接获取URL参数,不做任何过滤
$input = $_GET['text'];
// 直接输出(这就是漏洞!)
echo "你输入的内容是:".$input;
?>
2. 攻击 Payload(复制即用)
复制代码 
<script>alert('GET型XSS漏洞触发成功!')</script>
3. 构造恶意 URL 访问
复制代码 
http://localhost/xss_get.php?text=<script>alert('XSS')</script>
4. 实验结果

✅ **页面弹出提示框 → 漏洞存在!**🔍 URL 中可直接看到恶意代码。

实验二:POST 方式反射型 XSS 测试

1. 前端表单:xss1.html
复制代码 
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
</head>
<body>
<form action="xss1.php" method="post">
请输入:<input type="text" name="content">
<button type="submit">提交</button>
</form>
</body>
</html>
2. 后端漏洞文件:xss1.php
复制代码 
<?php
// 直接获取表单数据
$input = $_POST['content'];
// 直接输出(高危漏洞)
echo "你输入的内容:".$input;
?>
3. 攻击 Payload
复制代码 
<script>alert('POST型XSS漏洞触发!')</script>
4. 实验结果

提交后弹窗 → 漏洞验证成功 右键→查看网页源代码,可看到<script>被直接插入页面。

五、漏洞分析(必背重点)

1. 漏洞成因

后端直接获取用户输入,不过滤、不转义,直接输出到网页。

2. 漏洞危害

  • 窃取 Cookie → 登录账号
  • 会话劫持
  • 钓鱼页面跳转
  • 页面篡改
  • 用户隐私泄露

3. 漏洞特点

  • 非持久化(关页面就消失)
  • 必须诱导用户点击恶意链接
  • GET 型代码暴露在 URL,POST 型更隐蔽

六、防护建议(考试 / 报告必写)

  1. 输入过滤 :过滤<script>、javascript: 等危险内容
  2. 输出转义 :把< > " &变成普通文本
  3. PHP 固定用法htmlspecialchars()
  4. Cookie 设置 HttpOnly:防止被 XSS 窃取
  5. 使用 CSP 策略:限制脚本执行来源

七、加固实现(安全代码)

1. GET 加固(xss_get.php 安全版)

复制代码 
<?php
$input = $_GET['text'];
// 转义!修复XSS
$safe = htmlspecialchars($input);
echo "你输入的内容是:".$safe;
?>

2. POST 加固(xss1.php 安全版)

复制代码 
<?php
$input = $_POST['content'];
// 转义后输出,彻底安全
$safe = htmlspecialchars($input);
echo "你输入的内容:".$safe;
?>

加固后效果

再输入攻击代码,只会显示文字,不弹窗、不执行脚本!

八、核心知识点小白总结

  1. XSS 漏洞 = 输入的代码被浏览器执行
  2. 反射型 = 非持久、靠链接触发、关页面消失
  3. 攻击代码 = <script>alert()</script>
  4. 修复万能方法 = htmlspecialchars ()
  5. 永远不要相信用户输入!输出必须转义!

九、实验结论

本次实验成功验证了GET/POST 两种反射型 XSS 漏洞 的触发与利用,理解了漏洞原理,并掌握了输出转义的防护方法。只要对用户输入内容进行合理过滤与转义,即可有效防御反射型 XSS 漏洞。

相关推荐
徐小夕15 分钟前
PDF无限制预览!Jit-Viewer V1.5.0开源文档预览神器正式发布
前端·vue.js·github
WangJunXiang626 分钟前
Haproxy搭建Web群集
前端
吴声子夜歌41 分钟前
Vue.js——自定义指令
前端·vue.js·flutter
小芝麻咿呀1 小时前
vue--面试题第一部分
前端·javascript·vue.js
这儿有一堆花2 小时前
深入解析 Video.js:现代 Web 视频播放的工程实践
前端·javascript·音视频
烤麻辣烫2 小时前
JS基础
开发语言·前端·javascript·学习
IT_陈寒3 小时前
Vue的响应式把我坑惨了,原来问题出在这
前端·人工智能·后端
2603_953527993 小时前
WordPress Finale Lite 插件高危漏洞检测与利用工具 (CVE-2024-30485)
前端·python·安全·web3·xss
2601_949818093 小时前
头歌答案--爬虫实战
java·前端·爬虫
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free04AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析05零成本!Ollama本地部署国产大模型全指南(支持Kimi-K2.5/GLM-5/Qwen,新手秒上手)06从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程07GPT-6发布日深度解析-Symphony架构200万Token实战08基于 Docker 部署 Hermes Agent 并接入飞书机器人的完整指南09智元机器人发布4款新品,2026营收目标5亿元10从限购到畅通:GLM-5.1 Coding Plan接入攻略