XSS攻击防御与CSP策略

Tue, 04 Mar 2025 09:31:00 +0000

考察点分析

本题主要考核候选人的Web安全防御体系设计能力，涉及三个核心维度：

XSS攻击类型辨析：区分反射型、存储型、DOM型XSS的攻击原理与威胁场景
CSP策略机制：理解内容安全策略的白名单控制原理及部署方式
纵深防御思维：掌握输入过滤与输出编码的协同防御模式及其互补关系

具体技术评估点包括：

XSS三类型攻击载荷的存储位置与触发方式差异
CSP指令集对脚本加载源的限制机制（script-src/unsafe-inline控制）
不同上下文环境（HTML/JS/CSS）的输出编码策略选择
CSP nonce/hash在安全执行内联脚本中的应用
防御方案如何兼顾功能可用性与安全性

技术解析

关键知识点

CSP白名单 > XSS类型差异 > 输出编码策略 > 输入验证

原理剖析

XSS类型本质差异：

反射型XSS：恶意脚本通过URL参数注入，服务端未过滤直接返回页面
存储型XSS：攻击载荷持久化存储于服务器（如评论系统），页面渲染时触发
DOM型XSS：完全客户端执行，通过修改DOM树触发（如location.hash）

CSP白名单机制：

 # Nginx配置示例
Content-Security-Policy: 
 default-src 'self';
 script-src 'self' https://trusted.cdn.com;
 style-src 'none';
 object-src 'none';
 report-uri /csp-report;

script-src限制脚本加载源，禁用unsafe-inline可阻止内联脚本
通过nonce-{随机值}或sha256-{哈希值}允许特定内联脚本
违规行为通过report-uri上报监控系统

联合防御方案：

输入过滤：服务端对用户输入进行合法性校验（如正则过滤<>’“等危险字符）
输出编码：根据输出位置采用不同编码策略（HTML实体编码、JavaScript Unicode转义）
CSP兜底：防止前两层防御失效时的脚本执行

常见误区

仅依赖输入过滤而忽略输出编码（无法防御编码绕过场景）
错误配置default-src 'self'却未限制object-src导致插件漏洞
未处理JSONP端点导致CSP白名单被绕过

问题解答

三种XSS的核心差异在于攻击载荷的存储位置与触发方式：

反射型通过URL参数注入，非持久化，需要诱导点击
存储型将恶意代码保存在服务端，持续影响所有访问者
DOM型完全在客户端解析执行，不经过服务端

CSP通过白名单机制控制资源加载：

设置HTTP响应头的Content-Security-Policy字段
使用script-src指令限制脚本来源，禁止内联脚本（除非使用nonce或hash）
通过connect-src限制AJAX请求源，防止数据泄露

联合防御方案需多层级配合：

CSP策略 on ZiYang FrontEnd Interview

XSS攻击防御与CSP策略

考察点分析 link

技术解析 link

关键知识点 link

原理剖析 link