网络基础信息及安全 14

任务4XSS漏洞检测和加固——项目九Web应用的安全配置课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02XSS漏洞的简介和分类XSS漏洞的利用方式和举例XSS漏洞的防御子任务1XSS漏洞检测03子任务2加固建议和应对0401任务规划任务规划“CTF-DEMO”网站有发布在线留言的功能，在网页中设计了表单收集用户写的留言内容，点击提交按钮后能把留言的内容保存到数据库中。其他用户可以查看发布的留言信息。考虑到有表单提交到数据库中的信息，可能会存在WEB安全隐患，要求小安对网站的XSS漏洞进行检测。小安通过在网站中的留言发布页面，对表单进行填写测试，以确定是否有XSS漏洞。如果检测出XSS漏洞，再根据情况给出安全加固建议。本任务的环境Windows10操作系统安装Wireshark4.2.6进行网络数据包捕获使用phpstudy8.1配置为测试服务器使用DBeaver管理数据库网站程序“CTF-DEMO”已经在教材配套素材中提供“本任务的环境数据库服务器为，数据库名称为dbctf_demo。“02相关知识相关知识——2.1XSS漏洞的简介和分类相关知识——2.1

XSS漏洞的简介和分类概述XSS漏洞，全称跨站脚本（CrossSiteScripting），是一种安全漏洞，它允许攻击者向web页面（如input表单、URL、留言板等位置）插入恶意JavaScript代码。当管理员或用户访问这些页面时，恶意脚本会触发并执行，从而达到攻击者的目的。相关知识——2.1

XSS漏洞的简介和分类形成的主要原因XSS漏洞形成的主要原因是服务器对用户提交的数据过滤不严。攻击者可以构造特定的脚本语句，使得这些输入内容被当作HTML的一部分来执行。当用户访问到这些含有恶意脚本的页面时，浏览器会将用户的输入当作JavaScript代码执行，从而可能获取用户的敏感数据（如cookie数据）。相关知识——2.1

XSS漏洞的简介和分类（1）反射型XSS（ReflectedXSS）反射型XSS是非持久性、参数型跨站脚本。攻击者通过电子邮件等方式将包含XSS代码的恶意链接发送给目标用户。当目标用户访问该链接时，服务器接收该目标用户的请求并进行处理，然后服务器把带有XSS代码的数据发送给目标用户的浏览器，浏览器解析这段带有XSS代码的恶意脚本后，就会触发XSS漏洞。相关知识——2.1

XSS漏洞的简介和分类（1）反射型XSS（ReflectedXSS）这种攻击方式往往具有一次性，且所见即所得。它依赖于攻击者构造的特定URL，一旦用户点击或访问这个URL，恶意脚本就会被反射回用户的浏览器并执行。由于反射型XSS攻击依赖于用户实时点击恶意链接，因此攻击的成功与否通常取决于用户的即时反应。相关知识——2.1

XSS漏洞的简介和分类（1）反射型XSS（ReflectedXSS）工作过程举例相关知识——2.1

XSS漏洞的简介和分类（2）存储型XSS（StoredXSS）存储型XSS是持久性跨站脚本，持久性体现在XSS代码被写进数据库或文件等可以永久保存数据的介质中。攻击者提交一段XSS代码后，服务器接收并存储，当其他用户访问包含该XSS代码的页面时，XSS代码被浏览器解析并执行。相关知识——2.1

XSS漏洞的简介和分类（2）存储型XSS（StoredXSS）提交的恶意内容会被永久存储，因此一个单独的恶意代码就会使多个用户受害。它通常发生在论坛、博客和留言板等允许用户提交数据的场景中。由于恶意脚本被保存在服务器端，攻击者无需每次都发送恶意链接给用户，这增加了攻击的隐蔽性。存储型XSS漏洞的危害极大，攻击者可以利用它执行各种恶意操作，包括但不限于窃取用户的敏感信息（如cookie数据、个人身份信息等）、控制用户的浏览器、重定向用户到恶意网站、更改页面内容以欺骗用户等。相关知识——2.1

XSS漏洞的简介和分类（2）存储型XSS（StoredXSS）工作过程举例相关知识——2.1

XSS漏洞的简介和分类（3）DOM型XSSDOM型XSS是一种特殊的XSS攻击方式，其攻击载荷（payload）由于修改受害者浏览器页面的DOM树而执行。DOM全称DocumentObjectModel，中文为文档对象模型，使用DOM可以使程序和脚本能够动态访问和更新文档的内容、结构及样式。DOM型XSS的攻击过程完全在客户端执行，不需要与服务器端进行交互。相关知识——2.1

XSS漏洞的简介和分类（3）DOM型XSSDOM型XSS的攻击代码不会传到服务器上，这使得它比较难以检测。攻击者通过修改页面的DOM结构来插入恶意脚本，从而执行攻击。由于DOM是在客户端修改节点的，所以基于DOM型的xss漏洞不需要与服务器端交互，它只发生在客户端处理数据的阶段。相关知识——2.1

XSS漏洞的简介和分类（3）DOM型XSS的工作过程举例XSS漏洞带来的法律风险XSS上传漏洞可能导致多种法律风险，包括刑事责任、民事赔偿及行政处罚。刑事责任：利用XSS漏洞获取、篡改、删除用户数据或破坏系统，可能构成“非法获取计算机信息系统数据罪”或“破坏计算机信息系统罪”，面临刑事处罚。民事责任：攻击行为若造成用户隐私泄露、财产损失，攻击者需承担民事赔偿责任，包括数据恢复、用户赔偿等。相关知识——2.2XSS漏洞的利用方式和举例相关知识——2.2

XSS漏洞的利用方式和举例XSS漏洞（Cross-SiteScripting）主要分为三种类型：反射型、存储型和DOM型。相关知识——2.2

XSS漏洞的利用方式和举例（1）反射型XSS（ReflectedXSS）的利用方式反射型XSS是临时性的，指注入的代码不在后端存储，但会在服务器端进行处理然后回显给用户。攻击者通过构造一个包含恶意脚本的URL，诱骗用户点击该链接，当用户访问该链接时，恶意脚本会被执行。相关知识——2.2

XSS漏洞的利用方式和举例（1）反射型XSS（ReflectedXSS）的利用方式举例：攻击者构造一个URL，如/search?q=<script>alert('xss')</script>，并将其发送给受害者。受害者点击该链接后，服务器会将恶意脚本<script>alert('xss')</script>插入到返回的HTML页面中。当受害者的浏览器解析该页面时，恶意脚本会被执行，弹出一个包含“xss”的警告框。相关知识——2.2

XSS漏洞的利用方式和举例（2）存储型XSS（StoredXSS）的利用方式存储型XSS会将恶意代码存储在数据库中，当用户访问包含这些恶意脚本的页面时，恶意代码会被执行。这种攻击方式具有长期性和持久性。相关知识——2.2

XSS漏洞的利用方式和举例（2）存储型XSS（StoredXSS）的利用方式举例：攻击者在一个论坛或博客的留言板中提交包含恶意脚本的评论，如<script>alert('xss')</script>。论坛或博客系统未对输入进行充分过滤，将恶意脚本存储到数据库中。当其他用户访问该留言板并查看该评论时，恶意脚本会被执行，弹出包含“xss”的警告框。相关知识——2.2XSS漏洞的利用方式和举例（3）DOM型XSS（DOM-basedXSS）的利用方式DOM型XSS利用的是HTMLDOM，不经过后端，只在浏览器处理并执行。攻击者通过修改页面的DOM结构来触发XSS漏洞。相关知识——2.2XSS漏洞的利用方式和举例（3）DOM型XSS（DOM-basedXSS）的利用方式举例：攻击者构造一个包含恶意代码的URL，该URL指向一个易受攻击的页面。受害者点击该链接后，浏览器会加载该页面，并解析页面中的JavaScript代码。恶意代码通过修改页面的DOM结构，将恶意脚本插入到页面中，并执行该脚本。XSS漏洞带来的法律风险XSS上传漏洞可能导致多种法律风险，包括刑事责任、民事赔偿及行政处罚。行政处罚：根据”网络安全法”，攻击者可能被处以警告、罚款、没收违法所得等行政处罚，情节严重者可行政拘留。信用影响：违法行为可能记入个人信用记录，影响未来就业、贷款、出境等社会活动。连带责任：若攻击行为涉及利用他人服务器（如C2控制）、传播恶意软件，可能同时触犯其他法律，加重法律责任。相关知识——2.3

XSS漏洞的防御相关知识——2.3

XSS漏洞的防御对于XSS漏洞的防御，可以采取以下措施相关知识——2.3

XSS漏洞的防御1）输入验证：对用户输入的数据进行严格的验证和过滤，确保输入内容的安全性。2）输出编码：对输出到HTML页面的内容进行适当的编码，以防止恶意脚本的执行。相关知识——2.3

XSS漏洞的防御3）使用内容安全策略（CSP）：通过CSP可以指定哪些外部资源可以被加载到页面上，从而减少XSS攻击的风险。4）定期更新和打补丁：定期更新网站使用的软件和库，及时修补已知的安全漏洞。相关知识——2.3

XSS漏洞的防御5）设置HTTP响应头：如设置X-Content-Type-Options:nosniff以防止浏览器尝试嗅探并忽略响应的Content-Type头部，从而减少MIME类型混淆攻击的风险。03子任务1子任务2-1XSS漏洞检测“CTF-DEMO”网站有发布在线留言的功能，在网页中设计了表单收集用户写的留言内容，点击提交按钮后能把留言的内容保存到数据库中。其他用户可以查看发布的留言信息。任务要求：考虑到有表单提交到数据库中的信息，可能会存在WEB安全隐患，要求对网站的XSS漏洞进行检测。通过在网站中的留言发布页面，对表单进行填写测试，以确定是否有XSS漏洞。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-1XSS漏洞检测04子任务2子任务2-2加固建议和应对“CTF-DEMO”网站有发布在线留言的功能，在网页中设计了表单收集用户写的留言内容，点击提交按钮后能把留言的内容保存到数据库中。其他用户可以查看发布的留言信息。确认结论：通过在网站中的留言发布页面，对表单进行填写测试，已经确定有XSS漏洞。任务要求：如果检测出XSS漏洞，根据情况给出安全加固建议和措施。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-2加固建议和应对注意事项做网络安全加固时，对文”XSS漏洞“测试时的注意事项环境隔