代码编织梦想

一、如何预防XSS

XSS 攻击有两⼤要素:

  • 攻击者提交恶意代码。

  • 浏览器执⾏恶意代码。

针对第⼀个要素:我们是否能够在⽤户输⼊的过程,过滤掉⽤户输⼊的恶意代码呢?

输入过滤

在⽤户提交时,由前端过滤输⼊,然后提交到后端。这样做是否可⾏呢? 答案是不可⾏。⼀旦攻击者绕过前端过滤,直接构造请求,就可以提交恶意代码了。 那么,换⼀个过滤时机:后端在写⼊数据库前,对输⼊进⾏过滤,然后把“安全的”内容,返回给前端。这样是否可行呢?我们举⼀个例子,⼀个正常的⽤户输⼊了 5 < 7 这个内容,在写入数据库前,被转义,变成了 5 < 7 。问 题是:在提交阶段,我们并不确定内容要输出到哪⾥。

这⾥的“并不确定内容要输出到哪⾥”有两层含义:

  1. 用户的输入内容可能同时提供给前端和客户端,而⼀旦经过了 escapeHTML() ,客户端显示的内容就变成了乱码(5 < 7)。

  2. 在前端中,不同的位置所需的编码也不同。

  • 当 作为 5 < 7 HTML 拼接页面时,可以正常显示:
<div title="comment">5 &lt; 7</div>
  • 当 5 < 7 通过 Ajax 返回,然后赋值给 JavaScript 的变量时,前端得到的字符串就是转义后的字符。这个内容不能直接⽤于 Vue 等模板的展示,也不能直接用于内容长度计算。不能⽤于标题、alert 等。

所以,输⼊侧过滤能够在某些情况下解决特定的 XSS 问题,但会引⼊很⼤的不确定性和乱码问题。在防范 XSS 攻击时 应避免此类⽅法。

当然,对于明确的输⼊类型,例如数字、URL、电话号码、邮件地址等等内容,进⾏输⼊过滤还是必要的。

既然输入过滤并非完全可靠,我们就要通过“防止浏览器执行恶意代码”来防范 XSS。这部分分为两类:

  • 防止HTML 中出现注入。

  • 防止JavaScript 执行时,执行恶意代码。

预防存储型和反射型 XSS 攻击

存储型和反射型 XSS 都是在服务端取出恶意代码后,插⼊到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。

预防这两种漏洞,有两种常见做法:

  • 改成纯前端渲染,把代码和数据分隔开。

  • 对 HTML 做充分转义。

纯前端渲染

纯前端渲染的过程:

  1. 浏览器先加载⼀个静态 HTML,此 HTML 中不包含任何跟业务相关的数据。

  2. 然后浏览器执行 HTML 中的 JavaScript。

  3. JavaScript 通过 Ajax 加载业务数据,调用DOM API 更新到页面上。

在纯前端渲染中,我们会明确的告诉浏览器:下面要设置的内容是文本( .innerText ),还是属性 ( .setAttribute ),还是样式( .style )等等。浏览器不会被轻易的被欺骗,执行预期外的代码了。 但纯前端渲染还需注意避免 DOM 型 XSS 漏洞(例如 onload 事件和 href 中的 javascript:xxx 等,请参考下⽂”预防 DOM 型 XSS 攻击“部分)。 在很多内部、管理系统中,采用纯前端渲染是⾮常合适的。但对于性能要求⾼,或有 SEO 需求的页面,我们仍然要面对拼接 HTML 的问题。

转义 HTML

如果拼接 HTML 是必要的,就需要采⽤合适的转义库,对 HTML 模板各处插⼊点进⾏充分的转义。 常⽤的模板引擎,如 doT.js、ejs、FreeMarker 等,对于 HTML 转义通常只有⼀个规则,就是把 & < > " ’ / 这⼏个字 符转义掉,确实能起到⼀定的 XSS 防护作⽤,但并不完善,所以要完善 XSS 防护措施,我们要使⽤更完善更细致的转义策略。 例如 Java 工程里,常⽤的转义库为 org.owasp.encoder 。以下代码引⽤⾃ org.owasp.encoder 的官方说明。

<!-- HTML 标签内⽂字内容 --> 
<div><%= Encode.forHtml(UNTRUSTED) %></div> 
<!-- HTML 标签属性值 --> 
<input value="<%= Encode.forHtml(UNTRUSTED) %>" /> 
<!-- CSS 属性值 -->
 <div style="width:<= Encode.forCssString(UNTRUSTED) %>"> 
 <!-- CSS URL --> 
 <div style="background:<= Encode.forCssUrl(UNTRUSTED) %>"> 
 <!-- JavaScript 内联代码块 --> 
 <script> var msg = "<%= Encode.forJavaScript(UNTRUSTED) %>"; alert(msg); </script> 
 <!-- JavaScript 内联代码块内嵌 JSON --> 
 <script> var INITIAL_STATE = JSON.parse('<%= Encoder.forJavaScript(data.to_json) %>'); </script> 
 <!-- HTML 标签内联监听器 --> 
 <button onclick="alert('<%= Encode.forJavaScript(UNTRUSTED) %>');"> click me </button>
 <!-- URL 参 数 --> 
 <a href="/search?value=<%= Encode.forUriComponent(UNTRUSTED) %>&order=1#top"> 
 <!-- URL 路 径 --> 
 <a href="/page/<%= Encode.forUriComponent(UNTRUSTED) %>"> 
 <!--URL. 注意:要根据项⽬情况进⾏过滤,禁⽌掉 "javascript:" 链接、⾮法 scheme 等 --> 
 <a href='<%= urlValidator.isValid(UNTRUSTED) ? Encode.forHtml(UNTRUSTED) : "/404" %>'>link </a>

可⻅,HTML 的编码是⼗分复杂的,在不同的上下⽂⾥要使⽤相应的转义规则。

预防 DOM 型 XSS 攻击

DOM 型 XSS 攻击,实际上就是⽹站前端 JavaScript 代码本身不够严谨,把不可信的数据当作代码执行了。 在使用 .innerHTML 、 .outerHTML 、 document.write() 时要特别小心,不要把不可信的数据作为 HTML 插到⻚⾯上, 而应尽量使⽤ .textContent 、 .setAttribute() 等。

如果⽤ Vue/React 技术栈,并且不使用 v-html 、 dangerouslySetInnerHTML 功能,就在前端render阶段避免 innerHTML 、 outerHTML 的XSS隐患。

DOM 中的内联事件监听器,如 location 、 onclick 、 onerror 、 onload 、 onmouseover 等, 标签的 href 属 性,JavaScript 的 eval() 、 setTimeout() 、 setInterval() 等,都能把字符串作为代码运⾏。如果不可信的数据拼接到字符串中传递给这些 API,很容易产⽣安全隐患,请务必避免。

<!-- 内联事件监听器中包含恶意代码 --> 
![](https://awps-assets.meituan.net/mit-x/blog-images-bundle-2018b/3e724ce0.data:image/png,) 
<!-- 链接内包含恶意代码 --> 
<a href="UNTRUSTED">1</a> 
<script> 
// setTimeout()/setInterval() 中调⽤恶意代码 
setTimeout("UNTRUSTED") 
setInterval("UNTRUSTED") 
// location 调⽤恶意代码
location.href = 'UNTRUSTED' 
// eval() 中调⽤恶意代码 
eval("UNTRUSTED") </script>

如果项⽬中有⽤到这些的话,⼀定要避免在字符串中拼接不可信数据。

其他 XSS 防范措施

虽然在渲染⻚⾯和执⾏ JavaScript 时,通过谨慎的转义可以防⽌ XSS 的发⽣,但完全依靠开发的谨慎仍然是不够的。 以下介绍⼀些通⽤的⽅案,可以降低 XSS 带来的⻛险和后果。

1.Content Security Policy

严格的 CSP 在 XSS 的防范中可以起到以下的作⽤:

  • 禁止加载外域代码,防⽌复杂的攻击逻辑 。

  • 禁止外域提交,网站被攻击后,用户的数据不会泄露到外域。

  • 禁止内联脚本执行(规则较严格,目前发现 GitHub 使用) 。

  • 禁止未授权的脚本执行(新特性,Google Map 移动版在使用) 。

  • 合理使⽤上报可以及时发现 XSS,利于尽快修复问题。

2.输入内容长度控制

对于不受信任的输⼊,都应该限定⼀个合理的⻓度。虽然⽆法完全防⽌ XSS 发⽣,但可以增加 XSS 攻击的难度。

3.其他安全措施

  • HTTP-only Cookie: 禁⽌ JavaScript 读取某些敏感 Cookie,攻击者完成 XSS 注⼊后也⽆法窃取此 Cookie。

  • 验证码:防⽌脚本冒充⽤户提交危险操作。

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.csdn.net/imagine_tion/article/details/110952024

layui-table表格固定列错位问题-爱代码爱编程

当表格行高动态发生变化时,固定列行高不变导致的表格错位问题 解决方法: 在layui-table加载完成的done回调函数中,动态监听table行高,添加以下代码 done: function (res, curr, count) { $("[data-field='lowerHairPath']").css('

uni-app中picker数据为对象数组如何使用,及获取picker选择之后的数据-爱代码爱编程

关于uni-app中picker数据为对象数组如何使用,及获取picker选择之后的数据 文章目录 先直接上展示和代码使用介绍获取选择的数据总结 先直接上展示和代码 这是完成后的效果展示 template中的代码 <view class="info-item"> 货主: <picker @change="bin

IOS margin-bottom,margin-top失效问题-爱代码爱编程

问题 webAPP中内嵌的H5页面设置margin-bottom,在模拟器及安卓机中的展示效果都与预想的一样。而在iPhone中无论嵌套多少层margin-bottom,均会失效。 原因 参考资料 从IOS8开始,UIView的属性var layoutMargins:UIEdgeInsets指定该View的subview同其edge的间距。Auto

web前端node.js常用命令-爱代码爱编程

  1 . npm installNames :安装Node模块     // 全局安装     $npm install -g moduleName     获知使用:         $npm set global=true来设置安装模式,         $npm get global可以查看当前使用的安装模式     示例:     npm i

3d字体样式-爱代码爱编程

1、3d(less) 这是单项的,根据显示自动改为3d样式 <div class="box"> <div class="a"> 啦啦啦 </div> </div> @color: #0982C1; .text3d(@color) { color: @color;

人生是一场马拉松-OBKoro1的2020年年终总结-爱代码爱编程

前言 一晃眼2020年马上就要过去了,今年感觉过的特别快。 工作已经三年了,之前都没有写过年终总结,结果造成了下面这个现象: 回首过去的几年,记忆已经很模糊了,需要很用力才能想起过去一部分往事。 人生百年,好像也没有多少年终总结可以写呢~ 这么激励一下,一下子就有动力写年终总结了 😝 工作 在家办公 年初的疫情,是2020年过不去的记忆~

前端安全(2):跨站脚本(Cross-Site Scripting,XSS)-爱代码爱编程

一、XSS分为哪几类? 根据攻击的来源,XSS攻击可分为储存型、反射型、和DOM型三种 储存区:恶意代码存放的位置。插入点:由谁取得恶意代码,并插入到网页上。1. 储存型XSS 储存型XSS的攻击步骤: 攻击者将恶意代码提交到目标网站的数据库中。⽤户打开⽬标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。⽤户浏览器接收到

CVE-2020-25540:ThinkAdmin未授权列目录/任意文件读取漏洞复现-爱代码爱编程

目录   1. 简介 2. 影响范围 3. 环境搭建 3.1 安装Composer 4. 漏洞复现 4.1 列举目录 4.2 任意文件读取 1. 简介 ThinkAdmin 是基于 ThinkPHP后台开发框架,在ThinkAdmin v6版本存在路径遍历漏洞,该漏洞可以利用GET请求编码参数读取远程服务器上任意文件。 2. 影响范围

vulhub漏洞复现系列之Adobe ColdFusion(cve-2010-2861文件读取漏洞、CVE-2017-3066反序列化漏洞)-爱代码爱编程

CVE-2010-2861)Adobe ColdFusion 文件读取漏洞 一、漏洞简介 Adobe ColdFusion 8、9版本中存在一处目录穿越漏洞,可导致未授权的用户读取服务器任意文件。 二、漏洞影响 Adobe ColdFusion 8 Adobe ColdFusion 9 三、漏洞复现 直接访问http://www.0-sec.org:85

pikachu xss攻击模块 信息安全 xss漏洞 详细分析-爱代码爱编程

XSS攻击 跨站脚本漏洞测试流程反射型xss(get)反射型xss(post)存储型xss实例:xss钓鱼DOM型xssDom型xss-xXss盲打Xss之过滤Xss之htmlspecialcharsXss之href输出Xss之js输出Xss常见防范措施 跨站脚本漏洞测试流程 在目标站点上找到输入点,比如查询接口,留言板等。输入一

渗透测试:使用phpstudy搭建bwapp/dvwa/phpcms/pikachu环境-爱代码爱编程

使用phpstudy搭建bwapp/dvwa/phpcms/pikachu环境 使用phpstudy搭建PHP环境使用phpstudy搭建bwapp使用phpstudy搭建dvwa使用phpstudy搭建phpcms v9使用phpstudy搭建pikachu软件 使用phpstudy搭建PHP环境 phpStudy:是一个PHP调试环境的程

hackthebox-changllenge-web-looking glass-爱代码爱编程

能输入ip地址,试试看命令执行 尝试 &&  ; 拼接ls命令 ;成功 cat 一下看看 <?php function getUserIp() {     return $_SERVER['REMOTE_ADDR']; } function runTest($tes