Cookie劫持之外，XSS还能造成哪些更隐蔽的危害？

当人们谈论XSS（跨站脚本攻击）的危害时，Cookie劫持总是第一个被拎出来的“典型代表”。这几乎成了安全科普的定式。但安全从业者心里都清楚，真正让XSS变得棘手甚至致命的，恰恰是那些不直接偷Cookie，却能在用户眼皮底下、甚至安全设备的监控盲区里悄然进行的攻击。这些隐蔽的危害，才是现代Web应用安全中更值得警惕的“灰犀牛”。

界面劫持：伪造的不只是登录框

钓鱼攻击的认知大多停留在“伪造一个登录表单”。但XSS能做到的远不止于此。想象一下，在一个存在存储型XSS的在线银行转账页面，攻击者注入的脚本可以悄无声息地修改“收款人”和“转账金额”这两个输入框的值。用户看到的界面一切正常，他可能只是在给朋友转100元饭钱，但实际发出的请求，收款账户早已被替换成攻击者的钱包，金额后面也被偷偷加了个零。这种基于真实页面的“界面操作劫持”（UI Redressing），其欺骗性远超一个粗糙的假登录页。

点击劫持的“近亲”：CSRF触发器

更隐蔽的一招，是利用XSS来触发跨站请求伪造（CSRF）。很多应用对CSRF有防御令牌（Token），但Token往往就嵌在页面HTML里。XSS脚本可以轻松读取这个Token，然后代表用户构造一个完全合法、携带正确Token的请求，比如关注某个用户、修改账户邮箱、甚至进行小额支付。整个过程，服务器收到的请求无懈可击，因为所有参数，包括防CSRF的Token，都是真实有效的。这相当于用用户的合法身份，干攻击者想干的事，而传统的CSRF防御机制在此形同虚设。

客户端数据渗透：浏览器的“内鬼”

本地存储与缓存窥探

现代Web应用大量使用LocalStorage、SessionStorage甚至IndexedDB在客户端存储数据，从用户偏好、草稿内容到部分非敏感的会话信息。一个XSS漏洞意味着攻击者脚本可以遍历和读取这些存储区域。你可能没丢Cookie，但你存在本地的未发送的邮件草稿、购物车里的商品清单、甚至应用内缓存的个人资料片段，都可能被窃取。

更进阶的攻击，会利用浏览器提供的API进行“侧信道”探测。例如，通过检测某些CSS资源是否已被缓存，可以推断用户是否访问过特定网站（即“历史嗅探”攻击的变种）。虽然现代浏览器对此进行了限制，但思路依然值得警惕——XSS让攻击者拥有了在用户浏览器上下文里进行各种探测实验的能力。

持久化与驻留：潜伏的“数字寄生虫”

如果说上述危害是一次性的“盗窃”，那么通过XSS实现的持久化攻击则更具威胁。攻击者可以通过注入的脚本，向浏览器中植入一个“后门”。

• Service Worker劫持：如果网站支持HTTPS（大多数现代网站都是），攻击者脚本可以注册或劫持一个Service Worker。这个Worker会常驻在浏览器后台，即使原页面的XSS漏洞被修复，它仍然能拦截、修改该域名下所有的网络请求，实现长期的流量监听与篡改。
• 浏览器扩展污染：针对某些设计不当的浏览器扩展，XSS脚本可以通过与扩展通信的API，诱导扩展执行高危操作或泄露数据。虽然这需要特定条件，但一旦成功，危害范围将超越单个网站。

通向更广阔天地的“跳板”

XSS最危险的隐蔽性，在于它常常不是攻击的终点，而是起点。它提供了一个在目标用户浏览器中执行任意代码的宝贵立足点。从这个“滩头阵地”出发，攻击者可以：

• 探测内网：利用受害者的浏览器作为代理，扫描其所在内部网络的资产，这比从外网直接扫描隐蔽得多。
• 结合其他漏洞：如果企业内部系统存在漏洞但只允许内网访问，XSS可以成为从外网“借道”用户浏览器进入内网的桥梁。
• 水坑攻击的组成部分：在访问量大的网站上植入XSS，等待特定行业或组织的用户“上钩”，实现精准打击。

所以，别再仅仅把XSS看作一个“弹个窗、偷个Cookie”的小把戏了。它的本质是在受害者信任的上下文环境中，获得了代码执行权。这个权限在充满丰富API的现代浏览器环境中，能衍生出的攻击想象力，远比我们想象的要大。防御XSS，也不再仅仅是过滤几个<script>标签那么简单，它要求开发者对客户端安全拥有更深、更广的理解。毕竟，当敌人已经站在了你家的客厅里，他能做的，可不止是偷走茶几上的饼干罐。