（本文演示 github：https://github.com/zphhhhh/node-secure）

什么是 XSS 攻击？

XSS 全称 Cross-Site Scripting，可译为：跨站脚本攻击，由于 CSS 已被占用，因此简称 XSS。

一句话理解 XSS：不可信内容经处理后被当做可信内容再渲染。

XSS 攻击的种类

XSS 攻击可细分为 反射型 XSS、持久型 XSS、DOM XSS，前两种针对服务器，后一种针对客户端。

XSS 攻击的种类.png

反射型 XSS

不可信内容提交到服务器，立即在响应中被返回。

比如：有一个登陆页面需要输入用户名，提交后会显示 “你好，XXX”，这里的 XXX 即有可能存在反射型 XSS 攻击漏洞。

反射型 XSS.png

持久型 XSS

不可信内容提交到服务器，被保存到服务器数据库，下次需要时被当做可信内容被返回。

比如：恶意代码写入个人资料页，所有访问我的资料的朋友都会遭到攻击

持久型 XSS.png

DOM XSS

不可信内容被插入到页面DOM节点。

比如：网络劫持（使用数据流量访问网页时出现的网络服务商链接）

DOM XSS.png 百度首页被运营商植入 DOM XSS.png

XSS 攻击的常见攻击效果

• 获取用户的 cookie，实现会话劫持
  • 盗取网银资产
• 在页面伪造表单，获取用户的账号密码
• XSS Worm（终极手段）
• 等等

防御 XSS

为防御 XSS，我们首先要知道 XSS 攻击的本质是不安全的
HTML 注入，可通过在 HTML、CSS、JS 或 HTTP 协议层次上进行防范。下面提供一些常用的防御策略：

• 输入检查
  • 用户名、邮箱等表单验证（前台/服务器二次验证）
  • 富文本使用白名单机制等
• 输出检查
  • HTML-Encoder
  • js-Encoder
• HTTP 头部：HttpOnly（四两拨千千）
  • 设置 cookie 时加入 HttpOnly 可使 js 脚本无法获取 cookie
• HTTP 头部：CSP（Content Security Policy）
  • 定义允许的资源加载地址，比如图片 / 视频 / JS 脚本等
• HTTPS加密访问
  • 有效防止 DOM XSS 攻击

参考：
《白帽子讲 Web 安全》