XSS攻击分为反射型、存储型和DOM型三类,防范需输出转义、CSP策略、安全API及前后端协同;现代框架默认转义可降低风险,但非万能,仍需警惕非受控数据源。
反射型XSS:恶意脚本通过URL参数传入,服务端未过滤就直接拼进HTML返回,用户点击链接即触发。比如搜索页把q=原样渲染。
存储型XSS:攻击者提交的恶意脚本被存进数据库,后续所有查看该内容的用户都会执行。常见于评论、用户昵称、后
台日志展示等场景。
DOM型XSS:不经过服务端,纯前端JS操作DOM时引入不可信数据,例如用location.hash或document.referrer动态写入innerHTML。
所有用户可控的数据在插入HTML前必须转义,不能只靠“看起来安全”来判断:
innerHTML、document.write、eval、new Function等危险API;优先用textContent或setAttribute
→,"→"),不要自己手写正则简单替换
Content-Security-Policy,至少设置script-src 'self',禁用'unsafe-inline'和'unsafe-eval'
DOMPurify.sanitize()等专业库清洗,而非白名单字符串替换XSS防护不能只靠前端。服务端同样要参与:
HttpOnly + Secure + SameSite=Lax,降低XSS窃取凭证的风险React、Vue、Svelte等默认对插值内容做HTML转义,大幅降低XSS风险:
{userInput}是安全的,但dangerouslySetInnerHTML需极度谨慎{{ msg }}自动转义,v-html等价于innerHTML,必须清洗后再用localStorage、URL参数、第三方API响应等非受控来源读取数据并直插DOM