在我上一篇《前端安全之XSS攻擊》文中,并沒有把XSS攻擊的解決辦法說完整,而XSS的攻擊又那么五花八門,有沒有一招“獨孤九劍”能夠抗衡�����,畢竟那么多情況場景�,開發人員無法一一照顧過來��,而今天通過閱讀《白帽子講Web安全》這本書,對應對方式有了更好的總結����,分為兩類�,一是服務端可以干的事��,二是客戶端可以干的事����。
前提
在說XSS解決方式時��,有一個前提�。就是同源策略——瀏覽器的同源策略(瀏覽器安全的基礎��,即使是攻擊腳本也要遵守這法則)�����,限制了來自不同源的“document”或腳本�����,對當前“document”讀取或設置某些屬性。除了DOM、Cookie、XMLHttpRequest會受到同源策略的限制外,瀏覽器加載的一些第三方插件也有各自的同源策略。不過script���、img、iframe、link等標簽都可以跨域加載資源����,而不受同源策略的限制����。
服務端可以干的事
1. HttpOnly
其實就是現在HTTP協議(HTTPS也是可以的)才能讀取cookies����,JavaScript是讀取不到cookies的�。支持瀏覽器是IE6+、Firefox2+�����、Google����、Safari4+。
JavaEE給Cookie添加HttpOnly的代碼:
response.setHeader("Set-Cookie","cookiename=value; Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly");
PS:對于HTTPS�����,還是可以設置Secure字段�����,對Cookie進行安全加密���。
這是本質上不是預防XSS����,而是在被攻破時候不允許JS讀取Cookie��。
2.處理富文本
有些數據因為使用場景問題���,并不能直接在服務端進行轉義存儲��。不過富文本數據語義是完整的HTML代碼,在輸出時也不會拼湊到某個標簽的屬性中��,所以可以當特殊情況特殊處理��。處理的過程是在服務端配置富文本標簽和屬性的白名單,不允許出現其他標簽或屬性(例如script、iframe�、form等)�,即”XSS Filter“���。然后在存儲之前進行過濾(過濾原理沒有去探明)����。
Java有個開源項目Anti-Samy是非常好的XSS Filter:
Policy ploicy = Policy.getInstance(POLICY_FILE_LOCATION);
AntiSamy as = new AntiSamy();
CleanResults cr = as.scan(dirtyInput, policy);
MyUserDao.storeUserProfile(cr.getCleanHTML());
PS:當然也可以在前端顯示前過濾,但是我覺得�,讓前端人員少做東西好����,并且服務端只需要轉一次�。
客戶端可以干的事
1. 輸入檢查
輸入檢查的邏輯,必須放在服務器端代碼中實現(因為用JavaScript做輸入檢查���,很容易被攻擊者繞過)。目前Web開發的普遍做法�����,是同時在客戶端JavaScript中和服務器代碼中實現相同的輸入檢查���?����?蛻舳薐avaScript的輸入檢查��,可以阻擋大部分誤操作的正常用戶�,從而節約服務資源���。
PS:簡單說�����,就是輸入檢查,服務端和客戶端都要做�。
另外攻擊者可能輸入XSS的地方�����,例如:
1.頁面中所有的input框
2.window.location(href、hash等)
3.window.name
4.document.referrer
5.document.cookie
6.localstorage
7.XMLHttpRequest返回的數據
PS:當然不止這些
2. 輸出檢查
一般就是在變量輸出到HTML頁面時����,使用編碼或轉義的方式來防御XSS攻擊��。XSS的本質就是“HTML注入”,用戶的數據被當成了HTML代碼一部分來執行,從而混淆了原本的語義�����,產生了新的語義���。
觸發XSS的地方
1.document.write
2.xxx.innerHTML=
3.xxx.outerHTML=
4.innerHTML.replace
5.document.attachEvent
6.window.attachEvent
7.document.location.replace
8.document.location.assign
PS:如果使用jquery�,就是那些append、html、before�、after等���,其實就是拼接變量到HTML頁面時產生���。大部分的MVC框架在模板(view層)會自動處理XSS問題��,例如AngularJS。
用什么編碼轉義
主要有HTMLEncode和JavaScriptEncode這兩個,客戶端和服務端都能做�����。但是讓后端去做����,我感覺是不大靠譜的���,因為數據的使用場景可能有幾種�����,可以在標簽��、屬性、或腳本里(甚至其他終端使用)�����,單單以一種方式去encode是很極限的�����。
1.HTMLEncode���,就是將字符轉換成HTMLEntities��,一般會轉(&、<����、>�、"�����、''�、/)這6個字符�。
2.JavaScriptEncode,是使用”\“對特殊字符進行轉義��。
PS:我在《HtmlEncode和JavaScriptEncode(預防XSS)》一文總結了比較完整的HTMLEncode和JavaScriptEncode兩個前端函數的寫法�,以及一點示例。
哪些地方需要編轉義
1.在HTML標簽����、屬性中輸出——用HTMLEncode
2.在script標簽中輸出——用JavaScriptEncode
3.在事件中輸出——用JavaScriptEncode
<a href="#" onclick="funcA(''$var'')">test</a>
4.在CSS中輸出
用類似JavaScriptEncode的方式���。將除了字母����、數字外的所有字符都編碼成十六進制形式”\uHH“���。
5.在地址中輸出
一般如果變量是整個URL�����,則先檢查變量是否以“http”開頭(不是則幫忙添加http)��,保證不會出現偽協議類的XSS攻擊。然后再對變量進行URLEncode�。
PS:URLEncode會將字符轉換成”%HH“形式��。
總結
前端開發人員要注意在正確的地方使用正確的編碼方式,有時為了防御XSS����,在一個地方我們需要聯合HTMLEncode����、JavaScriptEncode進行編碼�,甚至是疊加,并不是固定一種方式編碼(又是具體情況具體分析)��。
一般存儲型XSS風險高于反射型XSS�����。反射型XSS一般要求攻擊者誘使用戶點擊一個包含XSS代碼的URL鏈接;而存儲型只需要用戶查看一個正常的URL鏈接�����,當用戶打開頁面時���,XSS Payload就會被執行�。這樣漏洞極其隱蔽,且埋伏在用戶的正常業務中,風險很高����。(引自白帽子講Web安全原文)
本文為原創文章�,轉載請保留原出處��,方便溯源��,如有錯誤地方,謝謝指正。
本文地址 :http://www.cnblogs.com/lovesong/p/5223989.html
該文章在 2020/4/8 15:04:50 編輯過
400 186 1886
