一、XSS 是什么?
全称跨站脚本攻击 ,大白话:黑客往正常网站里偷偷塞恶意代码,浏览器分不清好坏,直接执行这些代码,从而偷数据、搞破坏。
二、核心原理
网站没过滤用户输入的内容,把用户写的恶意代码,直接展示给其他访客,浏览器当成正常脚本运行。
三、3 种常见类型(最简单区分)
- 反射型 XSS 黑客做个带恶意代码的链接,你点了就触发,代码不存服务器,骗点击才中招,一次性。
- 存储型 XSS(最危险) 黑客把恶意代码发在评论、留言、帖子里,存进服务器,所有打开这个页面的人都会自动执行,持久危害。
- DOM 型 XSS 不经过服务器,直接修改前端页面结构,本地执行代码,更隐蔽。
四、主要危害
- 偷 Cookie(登录凭证,直接盗号)
- 跳转到钓鱼、木马网站
- 窃取账号、隐私信息
- 篡改网页内容
五、最简单防御方法
- 过滤用户输入,删掉 / 转义
<script>等危险代码 - 页面输出内容时转义,让代码变成普通文字
- 给 Cookie 加
HttpOnly,禁止 JS 读取 - 开启 CSP 策略,限制可运行的脚本来源