XSS（跨站脚本）攻击是一种网络安全攻击方式，攻击者通过在网站页面中注入恶意脚本，使脚本在其他用户的浏览器中执行，从而窃取用户信息、篡改页面内容或操控用户账户。这类攻击通常利用网站对输入数据的过滤不严格，将恶意代码注入到正常的页面中，进而影响访问这些页面的用户。

存储型 XSS

案例：一个社交媒体平台的留言板存在存储型 XSS 漏洞。攻击者在评论区留言时输入了含恶意 JavaScript 代码的留言，

例如

 <script>alert('Your session has expired, please re-login');</script>。

当其他用户浏览这条评论时，恶意代码会在用户浏览器中执行，并可以窃取用户的 Cookie 或会话信息，将其发送到攻击者的服务器。

这种攻击会持续存在，直到评论被删除或漏洞被修复。

反射型 XSS

案例：一个电子邮件钓鱼攻击中，攻击者在 URL 中注入了恶意脚本。攻击者伪装成公司客服发送邮件，附带 URL 链接，例如：

https://example.com/search?q=<script>alert('You have been hacked!');</script>

用户点击链接后，页面立即弹出“您已被黑客攻击”的提示。虽然此类脚本不会长期存储在服务器上，但每当用户通过该链接访问页面时，都会执行。

攻击者可以利用这种方式诱导用户点击恶意链接，从而进一步劫持会话或窃取信息。

DOM 型 XSS

案例：一个在线论坛的搜索栏存在 DOM 型 XSS 漏洞。攻击者在论坛帖子中留下如下恶意链接：

https://exampleforum.com?search=<script>document.cookie</script>

当用户点击链接并访问该页面时，页面中的 JavaScript 会动态解析 URL 参数中的内容，并将其插入 DOM 中，导致恶意脚本执行。

这种攻击直接操控了页面的 DOM 结构，绕过服务器端的过滤措施，使恶意脚本在客户端直接执行并窃取用户的会话信息或其他敏感数据。

保护网站不被攻击

雷池（SafeLine）社区版是一款高效的开源 Web 应用防火墙（WAF），专为中小型企业和个人开发者设计，旨在保护 Web 应用免受各种网络攻击的威胁。

支持在 Docker 中快速部署，能够实时过滤和监控 HTTP 流量，帮助抵御多种常见的 Web 安全威胁，包括 SQL 注入、命令注入、XSS（跨站脚本攻击）等。

XSS 防护能力

输入过滤：对所有用户输入的数据进行严格的内容过滤，识别并清除可能的恶意代码和不安全的字符，防止恶意脚本注入页面。

输出转义：自动将网页输出的用户数据进行 HTML 转义，使浏览器无法将恶意脚本执行。特别是在输出用户评论、表单数据等动态内容时，转义可有效防止 XSS 漏洞的产生。

自动检测和拦截：通过内置规则实时检测 XSS 攻击的特征和行为，识别到可疑请求时自动拦截，并生成详细日志供管理员分析和跟踪。

XSS 攻击防护的实际案例 假设一个电商网站的搜索栏允许用户输入任意文本，攻击者输入如下恶意代码：

<script>alert('XSS!');</script>

如果没有防护，搜索结果页面将直接展示攻击者的代码，触发用户浏览器的 alert 弹窗，进一步可能引发信息泄露风险。

该 WAF 会对所有输入进行过滤和输出转义，确保 < script> 标签无法执行，从而保护用户免受攻击，防止信息泄露。