OWASP CheatSheet系列：现代浏览器对XSS过滤的演进与防护建议

随着Web安全技术的不断发展，现代浏览器在XSS（跨站脚本攻击）防护方面有了显著提升。近期OWASP CheatSheet系列中关于XSS过滤绕过技巧的讨论，揭示了浏览器行为变化对安全防护策略的影响，特别是javascript:协议在<img>标签src属性中的处理方式。

浏览器行为变化分析
传统XSS攻击中，攻击者常利用javascript:协议作为<img>标签src属性值来执行恶意脚本。例如：

<img src="javascript:alert('XSS')">

但在现代浏览器（如Chrome、Firefox、Edge等）中，这种利用方式已被普遍拦截。浏览器会忽略javascript:协议在src属性中的执行，转而将其视为无效内容或静默丢弃。这种安全机制大幅降低了通过<img>标签的XSS攻击成功率。

当前有效的攻击向量
虽然<img>标签的利用受限，但其他HTML元素仍可能成为攻击入口：

1. <a>标签的href属性

   <a href="javascript:alert('XSS')">点击触发</a>
   

   现代浏览器仍允许在用户交互（如点击）时执行javascript:协议。

2. 事件处理器

   <img onerror="alert('XSS')" src="invalid">
   

   通过触发onerror等事件处理器，攻击者可绕过src属性的限制。

防护策略建议
基于浏览器行为变化，开发者应调整防护措施：

1. 输入过滤
   对所有用户输入进行严格的HTML实体编码（如将<转义为<），而不仅针对<img>标签。

2. 上下文感知输出编码

   • 在HTML属性上下文中，使用双引号包裹属性值并转义特殊字符
   • 对于URL属性（如href），额外验证协议头（禁止javascript:）

3. CSP策略强化
   通过内容安全策略（CSP）禁用内联脚本执行：

   Content-Security-Policy: script-src 'self'
   

4. 兼容性考量
   针对仍使用老旧浏览器的用户群体（如企业内网环境），需保留对传统攻击向量的防护。

开发者自查清单

• [ ] 验证所有动态生成的HTML是否经过上下文相关编码
• [ ] 检查CSP策略是否覆盖所有脚本执行路径
• [ ] 对富文本输入采用白名单过滤（如DOMPurify库）
• [ ] 定期测试XSS防护措施的有效性（包括模拟老旧浏览器环境）

现代浏览器的安全改进为Web应用提供了更好的默认防护，但完全依赖浏览器特性并不可取。通过结合主动防护措施和深度防御策略，才能构建真正安全的Web应用体系。