你在某个论坛发帖,看到别人的名字后面带着一串乱码,点开后浏览器突然跳转到一个奇怪的页面。或者你在购物网站搜索商品时,输入框里明明没打什么特殊字符,结果页面却弹出一个广告窗口——这些都可能是XSS跨站脚本在作怪。
什么是XSS?
XSS,全称Cross-Site Scripting,中文叫跨站脚本攻击。它不是让你电脑中毒的那种病毒,而是一种利用网站程序漏洞,在网页里偷偷插入恶意代码的技术。这些代码会在其他用户浏览页面时自动执行,轻则弹广告,重则盗取账号信息。
比如你常去的一个博客评论区,有人留言写了这样一段话:
<script>alert('你的浏览器被黑了')</script>常见的XSS类型
最常见的是反射型XSS。比如你收到一条短信:“点击查看老同学照片”,链接长这样:https://example.com/search?q=<script>stealCookie()</script>
你一点,网站就把这段脚本嵌进页面执行了。这种攻击像“反射”,因为恶意代码不会存到服务器,只在你点击时临时触发。
还有一种叫存储型XSS。比如黑客在社交平台个人简介里写入恶意脚本,一旦保存,所有访问他主页的人设备都会中招。代码就像钉子一样,扎在网站里不动,等人来踩。
别以为和你没关系
你可能觉得自己不写网站,不用管这些。可现实是,你每天用的App、电商、银行页面,背后都是人写的代码。程序员忘了过滤用户输入,漏洞就出来了。甚至你公司内部用的管理系统,也可能因为一个下拉框没处理好,让别人偷走登录凭证。
防XSS其实不难。网站开发时只要记住:用户输入的一切内容,都要当成“可疑分子”处理。比如把 < 变成 <,> 变成 >,这样浏览器就不会误认为是代码。
作为普通用户,看到奇怪链接别乱点,尤其是带一堆符号的网址。浏览器装个广告拦截插件,也能挡住不少脚本攻击。最重要的是,别在来路不明的页面上登录账号,哪怕它长得跟官网一模一样。