XSS（跨域脚本攻击）应对之道

1.概念

　　xss一般分为两类，反射型和存储型。

　　反射型xss指的是客户端的不安全输入而引起的攻击，例如：

　　在某网站搜索，搜索结果会显示搜索的关键词，搜索时关键词填入<script>alert('1')</script>，然后点击搜索。如果页面没有对关键词进行过滤及代码转换，这段代码就会直接在页面上执行，弹出 1。

 

　　存储型xss指的提交带有恶意脚本内容的数据到服务器上，而在其他用户看到这些内容时，发起攻击。

 

2.应对之道

（1）对于输出到html的输入内容，采用过滤关键词的方式，把预设的关键词转换成字符实体，例如将< >转换成&lt; 和 &gt; 。

（2）Content-Security-Policy（内容安全策略） 简称 csp

　　即只允许页面向我们允许的域名发起跨域请求，而不符合策略的恶意攻击则被阻挡。csp需要在Response Headers中添加 ，请看例子：

 

● js仅允许本站资源或https://apis.google.com的资源

Content-Security-Policy: script-src 'self' https://apis.google.com

　　

● js仅允许本站资源，图片允许所有资源，media类型仅允许本站资源，font类型允许本站及fonts.gstatic.com的资源

Content-Security-Policy: default-src 'none'; script-src 'self'; img-src * data:; media-src 'self' ; font-src 'self' fonts.gstatic.com;

 

● 允许本站的资源，图片允许所有资源， js仅允许 http://trustedscripts.example.com下的资源。

Content-Security-Policy： default-src ‘self’； img-src *；script-src http://trustedscripts.example.com

　　指令集：

　　　　default-src：默认行为，所有未单独指定的指令都会按照这个来执行

　　　　script-src: 用于限制js的来源只能是后面跟着的地址，其他都不执行

　　　　style-src: 控制样式表@import和rel时所引入的URI资源

　　　　img-src: 用于定义可从中加载图像的来源。

　　　　media-src: 用于限制允许传输视频和音频的来源。

　　　　object-src: 可对 Flash 和其他插件进行控制。

　　　　base-uri: 用于限制可在页面的 <base> 元素中显示的网址。

　　　　child-src: 用于列出适用于工作线程和嵌入的帧内容的网址。例如：child-src https://youtube.com 将启用来自 YouTube（而非其他来源）的嵌入视频。 使用此指令替代已弃用的 frame-src 指令。

　　　　connect-src: 用于限制可（通过 XHR、WebSockets 和 EventSource）连接的来源。

　　　　font-src: 用于指定可提供网页字体的来源。Google 的网页字体可通过 font-src https://themes.googleusercontent.com 启用。

　　　　form-action: 用于列出可从 <form> 标记提交的有效端点。

　　　　frame-ancestors: 用于指定可嵌入当前页面的来源。此指令适用于 <frame>、<iframe>、<embed> 和 <applet> 标记。此指令不能在 <meta> 标记中使用，并仅适用于非 HTML 资源。

　　　　plugin-types: 用于限制页面可以调用的插件种类。

　　　　upgrade-insecure-requests: 指示 User Agent 将 HTTP 更改为 HTTPS，重写网址架构。 该指令适用于具有大量旧网址（需要重写）的网站。

 

　　填写项：

　　　　主机名：example.org，https://example.com:443

　　　　路径名：example.org/resources/js/

　　　　通配符：*.example.org，*://*.example.com:*（表示任意协议、任意子域名、任意端口）

　　　　协议名：https:、data:

　　　　'self'：当前域名，需要加引号

　　　　'none'：禁止加载任何外部资源，需要加引号

　　　　多个值也可以并列，用空格分隔。

 

　　script-src 的特殊值

　　　　除了常规值，script-src还可以设置一些特殊值。注意，下面这些值都必须放在单引号里面。

　　　　'unsafe-inline'：允许执行页面内嵌的&lt;script>标签和事件监听函数

　　　　unsafe-eval：允许将字符串当作代码执行，比如使用eval、setTimeout、setInterval和Function等函数。

　　　　nonce值：每次HTTP回应给出一个授权token，页面内嵌脚本必须有这个token，才会执行

　　　　hash值：列出允许执行的脚本代码的Hash值，页面内嵌脚本的哈希值只有吻合的情况下，才能执行。

　　　　nonce值的例子如下，服务器发送网页的时候，告诉浏览器一个随机生成的token。

 

　　注意点

　　　　● script-src和object-src是必设的，除非设置了default-src。

　　　　　　因为攻击者只要能注入脚本，其他限制都可以规避。而object-src必设是因为 Flash 里面可以执行外部脚本。

　　　　● script-src不能使用unsafe-inline关键字（除非伴随一个nonce值），也不能允许设置data:URL。

 

（3）x-frame-options(X框架选项)

　　本选项的主要作用是避免钓鱼iframe，也就是防止本网页被其他人放在iframe中使用。

　　它有3个选项：

　　　　DENY：不允许任何网页iframe嵌套本网页

　　　　SAMEORIGIN：只有当父网页与本网页的域名相同时，才允许嵌套

　　　　ALLOW-FROM http://xxx.com/：只有父网页域名等于该域名时，才允许嵌套

 

　　而不指定x-frame-option时，默认允许所有网页嵌套

　　另外也支持meta标签设置，但content中仅支持上述前两个选项。

　　

<meta http-equiv="X-Frame-Options" content="deny">，

　　

 

（4）x-content-type-options(X内容类型选项)

　　x-content-type-options是用来限制客户端Content-type响应头必须遵循MIME类型。

　　它仅有一项选择：X-Content-Type-Options: nosniff，意思是禁用浏览器对文档类型的自动判断。

　　这是因为有时候你的资源的Content-Type是错的或者未定义，这时，浏览器会使用MIME-sniffing嗅探该资源的类型，最终渲染执行，从而导致漏洞的出现。

　　举个例子：

　　某php网页在某不支持php的服务器上运行，如果没有设置Content-Type，则php会被解释为纯文本或者html，此时就会直接打印出来里面的所有内容。

 

（5）x-xss-protection（浏览器xss防护选项）

　　XSS filter/auditor是浏览器厂商（IE、webkit浏览器）内置的针对xss攻击的防护机制，设置很简单，只需要在response中，添加x-xss-protection字段，告知浏览器该如何工作。

　　它也有3项可供选择：

　　0： 表示关闭浏览器的XSS防护机制

　　1：删除检测到的恶意代码， 如果响应报文中没有看到X-XSS-Protection 字段，那么浏览器就认为X-XSS-Protection配置为1，这是浏览器的默认设置

　　1; mode=block：如果检测到恶意代码，不渲染恶意代码

　　推荐使用 1; mode=block。