课程笔记：反射型XSS跨站脚本攻击

课程名称：计算机网络应用 核心摘要：本讲讲解 XSS 攻击的第二种类型——反射型 XSS（Reflected XSS / 非持久型 XSS）。核心在于恶意脚本不持久化存储于数据库，而是通过诱骗用户点击携带 payload 的恶意 URL 临时触发执行。课程结合代码演示攻击效果（弹窗、窃取 Cookie、构建钓鱼 DOM），并给出过滤与转义的防御方案。

一、核心概念与原理

1.1 反射型 XSS 的定义

反射型 XSS（Reflected XSS）：又称 非持久型 XSS（Non-persistent XSS），是指攻击者将恶意脚本（通常为 JavaScript）作为参数嵌入到 URL 中，当受害者被诱骗点击该链接时，服务器将恶意参数原样返回并在前端浏览器中执行，从而实施攻击。
"反射"形象类比：就像下方放着一面镜子，一束光（恶意 JS 脚本）照射上去后会被"反射"出来——用户一旦访问该 URL，恶意脚本即被反射执行。

1.2 关键特征

非持久性：恶意脚本 不会保存 到目标网站的数据库中，也不会以任何持久化方式存储，而是 临时性 的。
触发方式：必须 诱导用户单击恶意链接 才能实施攻击；只有点击特定 URL 才会触发，不点击则无任何危害。
发生位置：一般发生于 与用户交互的地方（如搜索框、错误页面、URL 参数回显处等）。

二、技术细节与协议分析

2.1 反射型 XSS vs 存储型 XSS 对比

对比维度	反射型 XSS（Reflected XSS）	存储型 XSS（Stored XSS）
持久性	非持久型，临时性	持久型，长期存在
存储位置	不存入数据库，附在 URL 中	存入目标网站数据库
触发方式	诱骗用户点击恶意链接	用户正常访问页面即可触发
危害范围	单个用户（需点击）	所有访问该页面的用户
攻击难度	较高（需诱骗点击）	较低（被动触发）
常见载体	URL 参数、查询字符串、错误页面	留言板、评论区、个人信息等

2.2 攻击载荷（Payload）载体

URL 参数 / 查询字符串：恶意脚本附加到 URL 中，例如：
```
http://target.com/page?param=<script>alert('xss')</script>
```
外部脚本引入：通过 src 属性加载外部恶意 JS 文件，实现更复杂的攻击逻辑。

2.3 攻击演示流程（代码分析）

后端 Controller 处理逻辑（示例）：

// 反射型 XSS 演示 Controller
// 接收参数：若参数为 "none" 或空字符串，则返回不含任何参数的页面
// 若参数不为空，则将参数原样输出到返回的 HTML 页面（存在 XSS 漏洞）
if ("none".equals(param) || "".equals(param)) {
    // 不包含任何参数
    modelMap.add("content", "");
} else {
    // 原样输出参数 —— 危险！未做任何过滤与转义
    modelMap.add("content", param);
}
return "reflectxss"; // 返回 Thymeleaf/HTML 模板

前端模板（reflectxss.html）：从 modelMap 中取出 content 并原样渲染到页面。

攻击效果演示：

正常请求：?param=拉勾 → 页面显示"拉勾"。
植入弹窗脚本：?param=<script>alert('拉勾')</script> → 浏览器原样执行，弹出"拉勾"。
窃取 Cookie：通过 src 引入外部 JS，读取 document.cookie 并发送到黑客工具箱（接收服务器）。
构建钓鱼 DOM：在响应窗口中构建完整的 HTML 登录页面，诱导用户输入登录账号、支付信息等敏感数据，再发送至攻击者服务器。

2.4 反射型 XSS 主要攻击方式

窃取敏感信息：如 Cookie、Session Token、用户凭证等。
构建 DOM 钓鱼：在响应窗口中伪造 HTML 页面（如登录、支付页面），诱导用户输入敏感信息后外发。

三、实践应用与配置命令

3.1 攻击复现步骤

1. 寻找存在参数回显的页面（搜索结果、错误页、查询接口等）
2. 构造携带 payload 的恶意 URL：
   http://target.com/search?q=<script>alert(document.cookie)</script>
3. 通过钓鱼链接、短链接、邮件/社交平台诱骗受害者点击
4. 受害者点击后，服务器将 payload 原样返回，浏览器执行恶意脚本
5. 攻击者通过外部 JS 接收窃取的数据（Cookie 等）

3.2 防御方案

// 防御一：输入过滤 —— 不允许包含敏感标签（如 <script>, <iframe>, <img onerror> 等）
String filtered = input.replaceAll("(?i)<script.*?>.*?</script>", "")
                       .replaceAll("(?i)<iframe.*?>.*?</iframe>", "");

// 防御二：输入转义（HTML Entity 编码）—— 将 < > & " ' 转义为实体
String escaped = input.replace("&", "&amp;")
                      .replace("<", "&lt;")
                      .replace(">", "&gt;")
                      .replace("\"", "&quot;")
                      .replace("'", "&#x27;");

// 防御三：输出转义 —— 提交后回显时，对标签再次做转义处理
// 推荐使用模板引擎自带的转义机制（如 Thymeleaf 的 th:text 而非 th:utext）

防御要点总结：

输入校验：对用户输入进行白名单/黑名单过滤，禁止敏感标签与事件属性。
输入转义：对录入信息做 HTML 实体编码转义。
输出转义：数据回显时再次对标签进行转义。
使用安全 API：优先使用框架提供的安全输出方式（如 th:text、textContent）而非 innerHTML。
设置 Cookie 属性：为 Cookie 添加 HttpOnly 标志，防止 JS 读取。

四、重点与难点提示

4.1 考点速记

反射型 XSS 又称 非持久型 XSS，恶意脚本 不存入数据库。
触发前提：必须诱骗用户点击恶意 URL，属"一次性"攻击。
反射型 XSS 一般发生在 用户交互处（URL 参数回显、搜索、错误页面）。
攻击载体：URL 参数 / 查询字符串。

4.2 易错点

易混淆"反射型"与"存储型"的持久性差异：反射型 不持久化，存储型 持久化存入数据库。
误以为反射型 XSS 危害小于存储型——其实通过 构建钓鱼 DOM 同样可造成严重的信息泄露。
防御时只做输入过滤而忽略 输出转义，仍可能被绕过。

4.3 面试题

简述反射型 XSS 与存储型 XSS 的区别。
反射型 XSS 为什么又叫非持久型 XSS？
如何防御反射型 XSS 攻击？（过滤 + 转义 + HttpOnly Cookie）
反射型 XSS 常见的触发场景有哪些？
为什么反射型 XSS 通常需要配合钓鱼链接 / 短链接使用？

五、课后疑问/遗留问题

DOM 型 XSS 与反射型 XSS 的本质区别是什么？（DOM 型不经过服务器，纯前端解析 URL 触发，后续课程待补充。）
如何使用 Burp Suite / XSStrike 等工具自动化检测反射型 XSS 漏洞？
CSP（Content Security Policy） 内容安全策略对反射型 XSS 的防御效果如何？如何配置？
在前后端分离架构（如 Vue/React）中，反射型 XSS 的发生概率与防御方式有何变化？