`，如果浏览器控制台报告 CSP 违规且没有弹出提示，说明拦截生效。 ### 第二招：宝塔面板用户开启防火墙 XSS 规则 宝塔自带的 Nginx 防火墙（收费插件）或 Apache 防火墙可以直接拦截常见的 XSS payload。 1. 进入宝塔面板，点击左侧“软件商店”，找到“Nginx防火墙”或“Apache防火墙”并安装（如果已安装则跳过）。 2. 进入防火墙设置，找到“全局配置”或“规则管理”，确保“XSS攻击防御”开关为**开启**状态。 3. 在“自定义规则”中可添加更加严格的规则，例如过滤 ` ``` 这样 `` 等内联写法，页面功能会失效。建议先用 `report-uri` 收集违规报告，逐步调整策略。 - **防火墙规则误杀**：某些防火墙规则会把包含“script”的正常评论内容也拦截，导致用户无法提交。可以先设成“仅记录”模式观察一段时间。 - **输出转义过早**：如果你在入库前就转义，会导致数据库里存储的是 HTML 实体，后续再展示时重复转义会乱码。原则是：**只在输出到浏览器时转义，入库保持原始数据**。 ## 效果验证：确认攻击被拦截 1. **查看响应头**：用浏览器开发者工具（F12）的“网络”标签，刷新页面，查看响应头中是否存在 `Content-Security-Policy` 字段。 2. **测试 payload**：使用以下常见 XSS 测试字符串（仅在你的测试页面使用，不要在线上真实环境）： - `` - `` - `javascript:alert(1)` 预期结果：CSP 方式会阻止加载并报错，防火墙方式会返回 403，输出转义方式会显示原样字符串。 3. **检查日志**：宝塔防火墙的“拦截记录”中能看到被拦截的请求和详情。Nginx 错误日志中也能看到 CSP 违规报告（如果你配置了 `report-uri`）。 ## 常见问题解答 **Q1：我按照教程加了 CSP，网站部分功能不正常怎么办？** A：先查看浏览器控制台的 CSP 违规信息，把被阻止的资源域名加到对应指令中。如果使用了内联脚本，考虑用 `'unsafe-inline'` 或改用外部文件。 **Q2：宝塔防火墙免费版能防 XSS 吗？** A：宝塔防火墙免费版只提供基础规则，XSS 防御需要付费的专业版或企业版。如果不想付费，优先使用 CSP 和代码转义。 **Q3：是不是做了以上防护就万无一失？** A：不是。XSS 手法不断翻新（如 DOM based XSS），建议结合 CSP、输入过滤、输出转义、HttpOnly Cookie 等多层防护，并定期进行安全扫描。 ## 最后再收一下重点 XSS 跨站攻击拦截防护方法其实没有想象中难。你不需要成为安全专家，只需按本文步骤依次配置：先加 CSP 头兜底，再开宝塔防火墙拦截已知 payload，最后在代码中做好输出转义。**记住：安全是持续改进的过程，先跑通再优化，比停留在理论强一万倍。** 如果你在执行中遇到报错，请多看日志并返回本文的“避坑指南”对照排查。