• 存储型 XSS (SXSS)：当以输⼊形式提供的恶意数据未经清理就存储在服务器应⽤程序数据库或⽂件中时，就会出现 SXSS 攻击。SXSS 攻击的典型⽬标是在线社交⽹络应⽤程序和论坛，恶意数据可以在其中发布、存储在数据库中，从⽽感染访问它们的每个⽤⼾。SXSS 攻击也称为持久性攻击。
• DOM XSS (DXSS)：DXSS 攻击是渲染时攻击。DOM-based XSS攻击是一种与服务器没有直接交互的攻击，它利用客户端代码中的漏洞来实现攻击。攻击者通常会在页面上运行可执行代码，例如链接、表单等，来利用客户端脚本来注入恶意代码。与 RXSS 和 SXSS 相反， DXSS 攻击中使⽤的恶意数据⽤于动态更改浏览器在渲染阶段⽣成的 DOM 树。
• JavaScript Mimicry XSS（JSM-XSS）：攻击者不是注⼊恶意脚本，⽽是利⽤ Web 应⽤程序中已经使⽤的脚本来发起 JSM-XSS 攻击。JSM-XSS 攻击很难被检测到并且很容易通过基于⽩名单的过滤器。
• XSS 蠕⾍（WXSS）：WXSS 攻击是具有⾃我复制能⼒的 XSS 攻击。RXSS 和 SXSS 攻击被归类为 WXSS。WXSS 攻击更加危险，因为它们在 Web 应⽤程序⽤⼾之间传播，并随着时间的推移逐渐感染其他⽤⼾。此类攻击的典型⽬标是在线社交⽹络应⽤程序。

三、CSP介绍

Content Security Policy (CSP) 是一种加固 Web 应用的安全性技术，通过在网站页面中设置 CSP Header 来限制页面中能够执行的脚本、样式、图片等资源。CSP 包括很多不同的策略，因此安全设置的具体值取决目标网站的需求和资源使用情况。一般而言，建议设置较为严格的 CSP，以避免 XSS、CSRF 等安全问题。例如，可以配置以下 CSP：

Content-Security-Policy: default-src 'self'; script-src 'self' https://example.com; img-src 'self' data:; style-src 'self' 'unsafe-inline'; font-src 'self' https://example.com;

• 1
• 2

以上设置的 CSP 规则禁止所有来自第三方网站的资源，只允许本网站的资源加载。其中 script-src 只允许本网站和 example.com 的脚本加载，img-src 只允许本网站和 data: URI 的图片加载，style-src 只允许本网站和内联样式加载，font-src 只允许本网站和 example.com 的字体加载。请根据实际情况进行调整。

CSP 的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。它的实现和执行全部由浏览器完成，开发者只需提供配置。

CSP 大大增强了网页的安全性。攻击者即使发现了漏洞，也没法注入脚本，除非还控制了一台列入了白名单的可信主机。

两种方法可以启用 CSP：