XSS 防御转义规则笔记

一、转义规则概述

核心目标：防止用户输入被浏览器解析为可执行代码，确保输入始终被视为数据而非代码。
关键策略：根据数据嵌入的上下文环境（HTML、JavaScript、CSS 等），对特殊字符进行转义或编码。

二、不同上下文的转义规则

1. HTML 正文（标签之间）

场景：用户输入直接插入到 HTML 标签内部。

<div>用户输入内容</div>

转义规则：

示例：

• 攻击输入：<img src=x onerror=alert(1)>

• 转义后：<img src=x onerror=alert(1)>

• 结果：显示为文本，无法执行。

2. HTML 属性值

场景：用户输入插入到 HTML 属性值中（非事件属性）。

<input value="用户输入内容">

转义规则：

示例：

• 攻击输入：" onclick="alert(1)

• 转义后：" onclick="alert(1)

• 结果：无法闭合属性，事件注入失败。

3. JavaScript 上下文

场景：用户输入插入到 JavaScript 代码或事件属性中。

<script>var username = "用户输入内容";</script>
<button οnclick="用户输入内容">点击</button>

转义规则：

示例：

• 攻击输入：";alert(1);//

• 转义后：\";alert(1);//

• 结果：var username = "\";alert(1);//"; → 语法错误。

4. URL 上下文

场景：用户输入插入到 URL 属性中。

<a href="用户输入内容">链接</a>

转义规则：

示例：

• 攻击输入：javascript:alert(1)

• 防御后：javascript%3Aalert(1) 或直接拦截。

5. CSS 上下文

场景：用户输入插入到 CSS 属性中。

<div style="color:用户输入内容">文本</div>

转义规则：

示例：

• 攻击输入：red;);expression(alert(1))

• 转义后：red;\);expression\(alert\(1\)\) → 无法执行。

三、通用防御原则

1. 上下文感知：根据数据最终嵌入的位置（HTML/JS/CSS）选择转义方式。

2. 编码优先：始终对用户输入进行编码，而非依赖黑名单过滤。

3. 使用安全 API：

   • 避免 innerHTML，优先使用 textContent。

   • 使用框架（React/Vue）的自动转义机制。

4. 启用 CSP：通过内容安全策略限制脚本来源。

   Content-Security-Policy: default-src 'self'

四、常用转义工具

五、总结

核心思想：通过转义让浏览器始终将用户输入视为数据，而非代码。多层防御（转义 + CSP + 安全 API）是抵御 XSS 的关键！