除转义字符外,防止 XSS 攻击需从 “输入过滤”“输出场景适配”“环境安全限制” 等多个维度构建防护体系,以下是核心方法及建站时的实操方案:
转义是 “输出时的防护”,而输入验证是 “接收数据时就拦截危险内容”,二者结合能大幅降低风险。核心原则是:只允许 “预期内的合法内容” 通过,拒绝一切超出规则的输入。
大多数 XSS 攻击需要插入较长的恶意代码(如<img src=x onerror=alert(1)>),限制输入长度(如评论最多 500 字、昵称最多 20 字)可增加攻击难度。
转义并非 “万能方案”—— 不同输出场景(如 HTML 正文、HTML 属性、URL 参数、JS 代码)对危险内容的解析逻辑不同,需针对性防护。
即使已转义,动态设置href、src等属性仍可能存在风险(如href="javascript:攻击代码")。需:
若需在 JS 代码中使用用户输入(如const user = '${userInput}';),仅用 HTML 转义无效(JS 解析规则与 HTML 不同),需:
若动态设置 CSS(如element.style.color = userInput),需限制输入为 “纯颜色值”(如#fff、red),禁止包含expression()(IE 旧版支持的 JS 执行语法)等危险内容。
即使出现防护漏洞,也可通过限制浏览器权限、禁用危险功能,减少 XSS 攻击的危害范围。
CSP 是浏览器提供的安全机制,通过 HTTP 响应头Content-Security-Policy限制 “哪些资源可以加载”“哪些代码可以执行”,从根本上阻止 XSS 代码执行。
效果:若攻击者注入<script src="恶意域名.js"></script>,浏览器会因 “不符合 default-src 规则” 拒绝加载;内联的<script>alert(1)</script>也会被拦截。
XSS 攻击的常见目的是窃取用户 Cookie(如登录凭证),通过设置 Cookie 属性可防止窃取:
若网站需要支持富文本(如博客编辑器、商品详情,需允许<b>、<img>等标签),直接转义会导致格式丢失,需用 “白名单过滤 + 转义” 结合的方式:
手动过滤容易遗漏危险标签,建议使用成熟库(如DOMPurify):
即使使用库,也需明确 “只允许必要的标签和属性”(如富文本中无需script、iframe,则完全禁止);对<img>的src,仅允许http://、https://开头的链接(禁止data:伪协议,避免注入 base64 编码的 JS)。
转义字符是基础防护,但需结合:
例如:一个评论系统的防护流程应为 “输入验证(过滤长度和非法字符)→ 存储前过滤(黑名单辅助)→ 输出时转义(textContent)→ 后端配置 CSP(兜底拦截)”。这种 “多层防御” 能最大程度降低 XSS 攻击风险。
如果需要针对某类场景(如富文本编辑器、登录表单)细化防护方案,可以进一步说明需求。
