预防 XSS 攻击

Coffee_hou
499 阅读4分钟

介绍

Cross-Site Scripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。 利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

分类

存储型

攻击者将恶意代码提交到目标网站的数据库中。当用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在 HTML 中返回给浏览器。用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等。

反射型

攻击者构造出特殊的 URL,其中包含恶意代码。当用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器。用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

反射型 XSS 跟存储型 XSS 的区别是:存储型 XSS 的恶意代码存在数据库里,反射型 XSS 的恶意代码存在 URL 里。反射型 XSS 漏洞常见于通过 URL 传递参数的功能,如网站搜索、跳转等。由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击。

DOM 型

攻击者构造出特殊的 URL,其中包含恶意代码。当用户打开带有恶意代码的 URL 时,用户浏览器接收到响应后解析执行,前端 JavaScript 取出 URL 中的恶意代码并执行。恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 JavaScript 自身的安全漏洞,而其他两种 XSS 都属于服务端的安全漏洞。

预防

根据上述 XSS 分类,可以了解到 XSS 攻击有两大核心要素,因此我们据此进行预防。

  1. 攻击者提交恶意代码
  2. 浏览器执行恶意代码

输入过滤

在用户输入提交时,若交由前端通过 lodash.escape 过滤输入内容,然后提交到后端进行保存。这样的方式只能从前端表面进行预防,因为攻击者可直接调用后端接口把恶意代码进行提交保存。

因此对输入内容的过滤尽量交由后端服务处理,在保存到数据库之前进行判别过滤。

纯前端渲染

通过 JS 指定 API (如: .innerText / .setAttribute / .style 等)控制元素渲染,避免直接使用 .innerHTML / .outerHTML / document.write 直接插入数据。

模板引擎

对于模板引擎输出数据变量,主要是考虑转义 HTML,也就是主要是这些 & < > " ' / 字符进行转义。一般模板引擎也会默认开启这个部分的功能,例如:Handlebarsjs HTML Escaping

<div>{{ '<script>alert(1)</script>' }}<div>

React/Vue

如果前端在使用 React/Vue 技术栈,框架层面在渲染变量时默认处理转义 HTML,开发者应尽量避免使用 dangerouslySetInnerHTML / v-html 等 API 直接渲染数据。

const x = '<script>alert(1)</script>'
const App = () => (<div>{ x }<div>)

CSP

CSP (Content-Security-Policy) 用于检测和减轻用于 Web 站点的特定类型的攻击。通过以下有两种方式开启:

  1. 通过 HTTP 头信息的 Content-Security-Policy 的字段
  2. 通过网页的 标签
Content-Security-Policy: script-src 'self'; object-src 'none';
style-src cdn.example.org third-party.org; child-src https:;

<meta http-equiv="Content-Security-Policy" content="script-src 'self'; object-src 'none'; style-src cdn.example.org third-party.org; child-src https:">

以上配置实现了

avatar
文章
阅读
粉丝