这是我参与「第五届青训营」笔记创作活动的第5天。

Cross——Site Scripting（XSS）

跨站脚本攻击XSS：在开发维护的页面中，攻击者通过某种方式将恶意脚本注入；
可能会造成用户隐私泄露或者用户机器被利用挖矿；

XSS = [盲目信任用户提交内容]
               +
      [直接将用户提交内容转化成DOM]
        string ——> DOM（document.write \ element.innerHTML = anyString ...）
 
XSS特点
    通常难以从UI上感知；（暗地执行脚本）
    窃取用户信息；（cookie\token）
    绘制UI（例如弹窗），诱骗用户点击/填写表单；
    
Stored XSS
    恶意脚本被存在数据库中；
    访问页面 -> 读数据 => 被攻击；
    危害最大，对全部用户可见；
    
Reflected XSS
    不涉及数据库；
    从URL上攻击；
    在服务端进行注入；
    
DOM-based XSS
    不需要服务器的参与；
    恶意攻击的发起+执行，全在浏览器完成；
    
Mutation-based XSS
    利用了浏览器渲染DOM的特性；（独特优化）
    不同浏览器，会有区别；（按浏览器进行攻击）

XSS Demo

Cross-site request forgery（CSRF）

跨站伪造请求
    在用户不知情的前提下；
    利用用户权限；（cookie）
    构造指定HTTP请求，窃取或修改用户敏感信息；

防御

XSS防御原则
    永远不信任用户的提交内容；
    永远不要将用户提交内容直接转换成DOM；

XSS——现成工具
    前端
        主流框架默认防御XSS；
        google-closure-library;
    服务端（Node）
        DOMPurify;

！！！
    string -> DOM;
    上传svg；
    Blob动态生成script；
    自定义跳转链接；
    自定义样式；
    
Content Security Policy（CSP）
    哪些源（域名）被认为是安全的；
    来自安全源的脚本可以执行，否则直接抛错；
    限制eval + inline script；
    
CSRF防御
    if伪造请求 => 异常来源；
    then限制请求来源 -> 限制伪造请求；
    Origin
        同源请求中，GET + HEAD 不发送；
    Referer；

总结

    Web开发安全的内容体量十分庞大，不法分子的攻击手段也在不断的迭代更新，作为编码人员，对
于各个方面的安全问题都应该有所考量，并且精准防御打击，同时也需要持续的学习应对各种各样的状
况。