反射型XSS（Cross-Site Scripting）是一种Web安全漏洞，它发生在当Web应用程序将用户输入的数据“反射”回浏览器，而没有进行适当的处理或编码时。这种类型的XSS攻击是非持久化的，意味着恶意脚本不会被永久存储在服务器上，而是通过特定的URL或请求参数传递给受害者的浏览器。

特点

• 非持久化：攻击仅在用户点击含有恶意脚本的URL时发生，一旦用户离开该页面，攻击也就结束。
• 易于利用：攻击者可以通过构造含有恶意脚本的URL，并诱使用户点击，来实现攻击。
• 即时性：攻击效果是即时的，一旦用户点击了恶意链接，攻击脚本立即执行。

工作原理

1. 构造恶意URL：攻击者构造一个含有恶意脚本的URL，通常是在查询字符串中包含恶意脚本。
2. 诱导用户点击：攻击者通过各种手段（如电子邮件、社交媒体等）让目标用户点击这个链接。
3. 执行恶意脚本：当用户访问此链接时，Web应用程序没有正确处理请求中的恶意数据，导致浏览器执行了恶意脚本。

攻击示例

• 窃取Cookie：攻击者可以编写恶意脚本来窃取用户的Cookie，进而盗取用户的会话信息。
• 篡改页面内容：攻击者可以修改页面显示的内容，例如显示虚假广告或更改页面文本。
• 点击劫持：通过透明或半透明的重叠层，攻击者可以诱骗用户点击他们并不知道的按钮或链接。

防御措施

• 输入验证：对用户提交的所有数据进行验证，确保它们符合预期格式。
• 输出编码：对所有显示给用户的动态内容进行适当的HTML实体编码，防止浏览器解释为可执行的脚本。
• HTTP头部设置：使用HTTP头部如Content-Security-Policy（CSP）来限制脚本来源，减少XSS攻击的可能性。
• 使用安全库和框架：使用支持自动转义机制的模板引擎和安全库可以帮助减轻XSS风险。

实战案例

假设有一个简单的Web应用程序，它接受用户的输入并在页面上显示。以下是一个简化的JSP代码示例，说明了反射型XSS是如何发生的：

<%String username = request.getParameter("username");
%>
<h1>Welcome, <%= username %>!</h1>

在这个例子中，如果攻击者提供了一个包含恶意脚本的username参数，如<script>alert('XSS');</script>，那么当用户访问带有此参数的URL时，浏览器将执行恶意脚本，导致XSS漏洞。

为了防御反射型XSS，可以对username变量进行适当的编码，例如使用URLEncoder.encode(username, "UTF-8")来确保任何潜在的HTML或脚本标签被转义。此外，还可以使用Java的escapeXml()方法来进一步保护输出。

总之，反射型XSS是一种常见的安全漏洞，通过合理的输入验证和输出编码可以有效地防范此类攻击。