XSS漏洞面试题及详细答案.docxVIP

XSS漏洞面试题及详细答案

一、基础理解题（考察核心概念）

1.请用通俗的话解释什么是XSS漏洞？它的本质是什么？

答案：XSS简单说就是“恶意脚本注入”——攻击者把能执行的JavaScript代码（也可能是HTML、CSS）藏在用户输入里，网站没过滤就直接渲染到页面，导致脚本在其他用户浏览器里执行。本质是“信任了不可信的用户输入”，打破了浏览器“同源策略”对脚本执行的限制，让恶意代码混进了可信的页面环境。

2.XSS主要分哪几类？各自的触发场景和区别是什么？

答案：核心分3类，实际面试中常考场景对比：

• 存储型XSS（持久化）：用户输入的恶意脚本被存入数据库（比如评论、个人资料、留言板），其他用户访问包含该内容的页面时，脚本从数据库读出并执行。场景：论坛回帖、商品评价、私信。危害最大，影响面广。

• 反射型XSS（非持久化）：恶意脚本通过URL参数、表单提交等方式传入，网站直接把参数拼接进页面响应并返回，仅在当前请求中生效。场景：搜索框、登录失败提示（比如把用户名拼进“用户名不存在”提示）、URL跳转参数。需诱导用户点击恶意链接才会触发。

• DOM型XSS（基于DOM）：不经过服务器，完全在客户端浏览器中触发——网站用JavaScript操作DOM时（比如document.write、innerHTML），直接使用