CORS 如何停止 XSS

在讨论 CORS 如何停止 XSS 之前，我们需要先了解什么是 XSS 和 CORS。

XSS 是什么？

XSS（Cross-site Scripting）是一种网站应用程序中常见的安全漏洞，攻击者通过注入恶意脚本代码来攻击用户。

XSS 分为三种类型：

• 反射型（非持久性）：将代码注入到 URL 中，当用户点击时触发攻击。
• 存储型（持久性）：将恶意代码储存在服务器上，每次请求页面都会触发攻击。
• DOM 型：将代码注入到 DOM（文档对象模型）中，当用户操作触发特定事件时触发攻击。

CORS 是什么？

CORS（Cross-Origin Resource Sharing）是一种安全协议，它允许在浏览器上运行的网页从其他源获取指定的资源。换句话说，CORS 是一种跨域资源共享机制。

如何通过 CORS 停止 XSS？

1. 使用 CORS 响应标头

一个常见的 XSS 攻击是通过跨站点脚本使用 XMLHttpRequest 直接向第三方网站发送请求。要避免这种攻击，网站可以使用 CORS 标头来限制资源的访问。例如：

Access-Control-Allow-Origin: http://example.com

这将允许只从指定来源访问资源。

2. 防范 CSRF 攻击

跨站点请求伪造（CSRF）是一种攻击方式，攻击者利用受害者的身份，欺骗服务网站执行操作。这表明应用程序使用的资源必须受到保护。在这种情况下，CORS 可以限制只能在已知的安全来源下进行请求。

3. 使用 Content Security Policy

Content Security Policy（CSP）是一种安全标头，可帮助防范 XSS 攻击。它要求浏览器只能加载 Web 应用程序源（主机）之内的资源，并禁止加载外部资源。例如：

Content-Security-Policy: default-src 'self'

这将限制浏览器仅仅从相同域的源中加载脚本文件。

4. 对用户输入进行验证和过滤

最后，对于 Web 应用程序，最好避免接受用户输入数据直接插入到页面中。输入数据应始终经过验证和过滤。

这些都是一些通过 CORS 防范 XSS 攻击的方法。虽然没有绝对的安全，但弄懂风险的重要性和采取预防措施，可以大大降低遭受攻击的风险。