XSS (Cross-Site Scripting,跨站脚本) 是一种通过在网页中注入恶意 JavaScript 代码来攻击用户的安全漏洞。攻击者利用网站对用户输入的不当处理,将恶意脚本嵌入页面,当其他用户访问该页面时,恶意脚本在其浏览器中执行。
XSS 攻击分为三种类型:存储型 (恶意脚本存储在服务器数据库中)、反射型 (恶意脚本通过 URL 参数传递) 和 DOM 型 (恶意脚本通过客户端 JavaScript 操作 DOM 注入)。OWASP 将 XSS 列为最常见的 Web 安全漏洞之一。欢迎参阅在 Amazon 搜索 Web 安全书籍。
在 URL 缩短服务中,XSS 风险主要存在于用户输入的处理环节。如果服务在显示目标 URL、自定义别名或 OGP 预览信息时未正确转义 HTML 特殊字符,攻击者可能注入恶意脚本。
防范 XSS 的关键措施包括:对所有用户输入进行验证和转义、使用 CSP 限制脚本执行、采用现代前端框架的自动转义功能、以及实施 HttpOnly Cookie 防止脚本访问敏感 Cookie。在 Amazon 搜索安全编程书籍详细讨论了这些防护技术。