前端XSS攻击和防御

xss跨站脚本攻击(Cross Site Scripting)，是一种经常出现在web应用中的计算机安全漏洞，指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。比如获取用户的Cookie，导航到恶意网站,携带木马等。

　　大部分的xss漏洞都是由于没有处理好用户的输入，导致攻击脚本在浏览器中执行，这就是跨站脚本漏洞的根源。

　　xss攻击类型

　　1.非持久型XSS攻击

　　非持久型XSS（Non-persistent）又叫做反射XSS（Reflect XSS），它是指那些浏览器每次都要在参数中提交恶意数据才能触发的跨站脚本漏洞。

　　非持久型XSS漏洞实际上大多数攻击数据是包含在URL中的，类似这样的：http://www.vicitim.com/vul.asp?hi=[code]。需要用户的浏览器访问到这个URL恶意代码才执行，攻击者一般会把URL发给用户让用户通过浏览器去访问。不过URL里面带有稀奇古怪的代码确实有点奇怪，为了掩人耳目，攻击者可以发一个看起来没问题的URL，再通过那个页面跳转到恶意的URL；甚至也可以让一个域名转向到恶意URL，把那个域名发给用户。

　　2.持久型XSS攻击

　　持久型XSS（Persistent）又叫做存储XSS（Stored XSS），与非持久型XSS相反，它是指通过提交恶意数据到存储器（比如数据库、文本文件等），Web应用程序输出的时候是从存储器中读出恶意数据输出到页面的一类跨站脚本漏洞。

　　持久型XSS攻击就简单一点，只要第一次把攻击代码提交到服务器就一劳永逸了。比如我在某个论坛发帖的时候，论坛没有对传入的HTML作处理，那么我就可以发一个帖子内容包含“<script>[code]</script>”的帖子。呵呵，然后就守株待兔地等着来看帖子的人执行恶意脚本了。持久型XSS漏洞是把恶意脚本存储到了数据库，访问页面的时候完全没有预兆，所以它的危害也比非持久型XSS略微高一点。

　常见的xss攻击方法

　　1.绕过XSS-Filter，利用<>标签注入Html/JavaScript代码；

　　2.利用HTML标签的属性值进行xss攻击。例如：<img src=“javascript:alert(‘xss’)”/>；（当然并不是所有的Web浏览器都支持Javascript伪协议，所以此类XSS攻击具有一定的局限性）

　　3. 空格、回车和Tab。如果XSS Filter仅仅将敏感的输入字符列入黑名单，比如javascript，用户可以利用空格、回车和Tab键来绕过过滤，例如：<img src=“javas  cript:alert(/xss/);”/>；

　　4. 利用事件来执行跨站脚本。例如：<img src=“#” onerror= “alert(1)”/>，当src错误的视乎就会执行onerror事件；

　　5. 利用CSS跨站。例如：Body {backgrund-image: url(“javascript:alert(‘xss’)”)}；

　　6. 扰乱过滤规则。例如：<IMG SRC=“javaSCript: alert(/xss/);”/>；

　　7.利用字符编码，透过这种技巧，不仅能让XSS代码绕过服务端的过滤，还能更好地隐藏Shellcode；（JS支持unicode、eacapes、十六进制、十进制等编码形式）

　　8.拆分跨站法，将xss攻击的代码拆分开来，适用于应用程序没有过滤 XSS关键字符（如<、>）却对输入字符长度有限制的情况下；

　　9.DOM型的XSS主要是由客户端的脚本通过DOM动态地输出数据到页面上，它不依赖于提交数据到服务器，而是从客户端获得DOM中的数据在本地执行。容易导致DOM型的XSS的输入源包括：Document.URL、Location(.pathname|.href|.search|.hash)、

Document.referrer、Window.name、Document.cookie、localStorage/globalStorage；

    XSS攻击防御

　　原则：不相信客户输入的数据
　　注意:  攻击代码不一定在<script></script>中

　　1.使用XSS Filter。

　　输入过滤，对用户提交的数据进行有效性验证，仅接受指定长度范围内并符合我们期望格式的的内容提交，阻止或者忽略除此外的其他任何数据。比如：电话号码必须是数字和中划线组成，而且要设定长度上限。过滤一些些常见的敏感字符，例如：< > ‘ “ & # \ javascript expression  "onclick="  "onfocus"；过滤或移除特殊的Html标签， 例如: <script>, <iframe> ,  &lt; for <, &gt; for >, &quot for；过滤JavaScript 事件的标签，例如 "onclick=", "onfocus" 等等。

　　输出编码，当需要将一个字符串输出到Web网页时，同时又不确定这个字符串中是否包括XSS特殊字符（如< > &‘”等），为了确保输出内容的完整性和正确性，可以使用编码（HTMLEncode）进行处理。

　　2.DOM型的XSS攻击防御

　　把变量输出到页面时要做好相关的编码转义工作，如要输出到 <script>中，可以进行JS编码；要输出到HTML内容或属性，则进行HTML编码处理。根据不同的语境采用不同的编码处理方式。

　　3.HttpOnly Cookie

　　将重要的cookie标记为http only,   这样的话当浏览器向Web服务器发起请求的时就会带上cookie字段，但是在脚本中却不能访问这个cookie，这样就避免了XSS攻击利用JavaScript的document.cookie获取cookie：

 

 

1、将能被转换为html的输入内容，在写代码时改为innerText而不用innerHTML

2、实在没有办法的情况下可用如下方法（js代码）

function safeStr(str){
return str.replace(/</g,'&lt;').replace(/>/g,'&gt;').replace(/"/g, "&quot;").replace(/'/g, "&#039;");
}

将含有<>等符号转化为其他字符简单方便

 

 

 

 

 

  web前端开发常见的安全问题就是会遭遇XSS注入，而常见的XSS注入有以下2种方式：

 

 一、html标签注入

 

     这是最常见的一种，主要入口为表单项（一般就是正则过滤不周全）、内联样式表(exploer)

 

     正则过滤的解决办法，php一般会使用htmlspecialchars或者htmlentities函数进行转义

 

     注入方式有<script>/图片标签/连接标签/head头中其他标签，比如：

 

    <sCrIpT. src=xss.js></sCrIpT>  <<script>alert("xss");//<</script>

 

    img src="javascript.:alert('xss');">  <img """><script>alert("xss")</script>">

 

    <script. a=">" SRC="xss.js"></script> <iframe. src="javascript.:alert('xss');"></iframe>

 

  二、js代码注入

 

    一般为使用JS代码直接引用，不经校验的字符串，解析不安全的json(p)数据等

 

   比如一个name字段，没有经过过滤时，当name等于以下输入时

 

   ';alert('xss');//

 

   '';!--"<xss>=&{()}

 

   那使用document.write('u name is' + name);，就会破坏原有结构，插入不期望的数据

 

  三、应对XSS注入的方法主要有2种：

 

    1、对输入的数据进行转义保存，在输出时再进行还原

 

    2、对输入的数据进行过滤，确保输入数据符合我们的期望（数据类型、长度、过滤空格/特殊字符、判断唯一性等）

 

    对应的，逃避过滤的方法就有以下几种：

 

  A、许多过滤匹配特殊的标签，包括起始与结束尖括号。但是，许多浏览器接受结束括号前的空白符，允许攻击者轻易避开这种过滤。例如：<script. >

 

  B、因为许多人用小写字符编写HTML代码，所以一些过滤仅检查常用的小写恶意标签。例如：<ScRiPt>，通过改变字符大小写避开过滤。

 

  C、一些过滤匹配任何成对的起始与结束尖括号，删除其中的任何内容，但通常可以依靠周围现有的语法，结束注入的标签，从而避开这种过滤。比如：

 

   a 某个表单中的value值为：

 

  <input type="hidden" name="pageid" value="擦擦擦">

 

  使用如下代码进行替换，从而注入一个js新标签

 

擦擦擦"><x styple=" x:expression(alert(document.cookie))

   b 浏览器一般会接受未结束的html标签（现在还有N多不服务W3C标准的浏览器存在），如下代码就可避开过滤，执行一个alert操作

  <img src="" nerror=alert{document.cookie}

  D、一些过滤匹配成对的起始与结束尖括号，提取其中的内容，并将这些内容与标签名称黑名单进行比较。可以通过使用多余的括号避开过滤。

 

<<script>alert(document.cookie);//<</script>

  E、即使空字节后面的文本仍然在应用程序的响应中返回，但如果遇到空字节，一些过滤会停止处理字符串。在被过滤的表达式前插入一个URL编码的空字节即可避开这种过滤，还是上面C的表单

 

  擦擦擦%00<script>

  F、在不同的目标浏览器中，通常可以在被过滤的表达式中插入能够避开过滤、但仍被浏览器接受的字符：

 

  <script/src=...

 

  <scr%00ipt>

 

  expr/*****/ession

  G、果用户提交的数据在应用过滤后还进行了规范化（encode/decode），我们仍可以通过URL编码或双重编码被过滤的表达式，避开过滤，并对漏洞进行利用。

 

  %3cscript%3e（一次encode）            %253cscript%253e(2次encode)

  H、由于在服务器执行所有输入确认后，在响应中返回的攻击有效代码会被受害者的浏览器解析，这时候就出现了一种避开规范化的特殊情况。有时候，可以对攻击代码进行HTML编码以避开服务器的输入确认，受害者的浏览器将会再次解析攻击代码。例如，表达式Javascript：常被阻止以防止使用这种协议的攻击。但是，攻击者可以通过各种浏览器接受的方式对该表达式进行HTML编码。例如：

  a、<img src=javascript.:...

 

  <img src=javascri&0000112;t:...

 

  <img src=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A....

 

  以上三个例子分别使用标准的UTF-8编码、利用多余填补数据的标准编码以及省略分号的十六进制编码。不同的编码类型进行结合，排列组合量非常大。

  b、有时候我们能够成功执行一些JavaScript脚本，但在代码中对一些命令和关键字进行了限制。这个时候，可以通过动态创建并执行语句来避开应用程序的过滤。

  比如，应用程序阻止用户提交任何包含表达式document.cookie的数据，可以通过如下方法来避开这种过滤：

 

  var a = "alert(doc" + "ument.coo" + "kie)"; eval(a);

  或var a = "alert(" + String.fromCharCode(100,111,99,117,109,101,110,116,46,99,111,111,107,105,101) + ")"; eval(a);

  c、有时候应用程序会对某些关键字分进行HTML编码（<变成<；，>变成>；），这种情况下，应用程序可能会完全删除某些字符或表达式，试图利用这种净化来阻止恶意代码的执行。通常碰到这种字符净化设置，需要查明应用程序净化了哪些字符与表达式，以及能否通过剩下的字符实施攻击。

  I、如果过滤完全删除某些表达式，并且至少有一个被删除的表达式长度超过一个字符，那么只要应用程序没有进行递归净化，就可能避开过滤。

  <scr<script>ipt>

 

  假设应用程序对每个字段实施了长度限制，以阻止在其中插入有效的攻击字符串。但是攻击者仍然可以使用下面的方法，将一段脚本分布到他所控制的三个位置，从而传送一个有效的攻击字符串：

  比如下面这个链接（get方式，使用三个参数）

 

  https://xxx.com/account.php?page_id="><script>/*&seed=*/alert(document.cookie);/*&mode=*/</script>"

  最终得到的HTML完全有效，其中的源代码块已成为JavaScript注释（包含在/*与*/之间），因此被浏览器忽略。这样注入的脚本被执行