一、为什么Bot场景的XSS更危险？

传统XSS防护往往聚焦用户输入，但Bot攻击有三大特殊之处：

1. 动态DOM操作绕过：爬虫通过document.write或innerHTML注入脚本时，传统WAF无法捕获DOM构建后的危险操作
2. 第三方脚本污染：广告SDK等外部资源可能被中间人攻击篡改，触发非预期的JS执行
3. 延迟触发：通过setTimeout或事件监听触发的攻击，人工测试难以覆盖

二、检测技术选型对比

| 技术类型 | 优势 | 缺陷 | |----------|------|------| | SAST | 代码级检测，覆盖率高 | 误报多，难追踪运行时数据流 | | DAST | 真实环境验证 | 漏报DOM型漏洞 | | IAST | 结合运行时插桩 | 部署复杂，影响性能 |

三、核心实现方案

1. AST危险链路分析

使用Acorn解析JS生成AST，检测以下模式：

// 类型定义
interface XSSIndicator {
  callee: string;
  args: string[];
  location: SourceLocation;
}

// 检测示例
function checkDangerousCalls(ast: ESTree.Node): XSSIndicator[] {
  const indicators: XSSIndicator[] = [];
  traverse(ast, {
    CallExpression(node) {
      if (['eval', 'Function', 'setTimeout'].includes(node.callee.name)) {
        indicators.push({
          callee: node.callee.name,
          args: node.arguments.map(arg => astCodeGenerator(arg)),
          location: node.loc!
        });
      }
    }
  });
  return indicators;
}

2. 动态沙箱执行

使用Puppeteer模拟Bot行为：

import puppeteer from 'puppeteer';

async function detectDOMXSS(url: string): Promise<XSSReport> {
  const browser = await puppeteer.launch({
    headless: true,
    args: ['--no-sandbox']
  });

  try {
    const page = await browser.newPage();
    await page.goto(url, { waitUntil: 'networkidle2' });

    // 注入检测脚本
    const result = await page.evaluate(() => {
      return window.__XSS_ANALYSIS_DATA__; // 由页面脚本收集的数据
    });

    return analyzeResults(result);
  } finally {
    await browser.close();
  }
}

四、避坑实践

1. 上下文敏感分析：区分<script>标签内与HTML属性中的危险内容
2. CSP兼容处理：检测时临时禁用unsafe-inline，但记录原始策略

五、性能优化技巧

• AST缓存：对第三方库代码建立哈希索引，避免重复解析
• 任务队列：使用Redis实现优先级队列，关键路径优先扫描

六、对抗升级思考

未来可能需要： 1. 模拟不同设备指纹的Bot行为 2. 检测WebAssembly中的恶意调用 3. 监控DOM突变事件的异常模式

实际部署中发现，约60%的DOM型XSS出现在第三方问卷系统嵌入场景。建议建立白名单机制与实时监控组合方案。