XSS攻击原理、示例和防范措施

XSS攻击

XSS(Cross-Site Scripting,跨站脚本)攻击历史悠久，是危害范围非常广的攻击方式。

Cross-Site Stripting的缩写本应该是CSS，但是为了避免和Cascading style sheets（层叠样式表）的缩写混淆，所以将Cross（即交叉）使用交叉形状的X表示。

攻击原理

XSS是注入攻击的一种，攻击者通过将代码注入被攻击者的网站中，用户一旦访问访问网页便会执行被注入的恶意脚本。XSS攻击主要分为反射性XSS攻击（Reflected XSS attack）和存储型XSS攻击（Stored XSS Attack）两类。

攻击示例

反射型XSS（非持久型）

反射性XSS有称为非持久型XSS（Non-Persistent XSS）。当某个站点存在XSS漏洞时，这种攻击会通过URL注入攻击脚本，只有当用户访问这个URL是才会执行攻击脚本。

例如：

@app.route('/hello1')
def hello1():
    name = request.args.get('name')
    response = '<h1>Hello, %s!</h1>' %name

这个视图函数接收用户通过查询字符串（URL后边的参数）传入的数据，未做任何处理就把它直接插入到返回的响应主题中，返回给客户端。如果某个用户输入了一段JavaScript代码作为查询参数name的值：

http://127.0.0.1:5000/hello4?name=<script>alert('Bingo!')</script>

那么客户端收到的响应将变成下面的代码：

<h1>Hello,<script>alert(‘Gingo!’)</script>!</h1>

当客户端收到响应后，浏览器解析这行代码就会打开一个弹窗，下图是firefox浏览器(55.0版本)上的响应。

在chrome 72.0版本上的响应：

下面在IE11上的响应。

可见针对跨站攻击，某些浏览器已经做了安全防范。

不要觉得一个小弹窗不会造成什么危害，能够执行alert()函数就意味着通过这种方式可以执行任务JS代码。即攻击者通过javaScript几乎可以做任何事情：窃取用户的cookie和其他敏感数据，重定向到钓鱼网站，发送其他请求，执行注入转账、发布广告信息、在社交网站关注某个用户等。

即使不插入js代码，通过HTML和XSS注入也可以影响页面正常的输出，篡改页面样式，插入图片等。

如果网站A存在XSS漏洞，攻击者将包含攻击代码的链接发送给网站A的用户Foo，当Foo访问这个链接时就会执行攻击代码，从而受到攻击。

存储型XSS（持久型）

存储型XSS也被称为持久型XSS（persistent XSS），这种类型的XSS攻击更常见，危害也更大。它和反射型XSS类似，不过会把攻击代码存储到数据库中，任何用户访问包含攻击代码的页面都会被殃及。

比如，某个网站通过表单接收用户的留言，如果服务器接收数据后未经处理就存储到数据库中，那么用户可以在留言中出入任意javaScript代码。比如攻击者在留言中加入一行重定向代码：

<script>window.location.href=”http://attacker.com”;<script>

其他任意用户一旦访问关于这条留言的页面，包含这条留言的数据就会被浏览器解析，就会执行其中的javaScript脚本。那么这个用户所在页面就会被重定向到攻击者写入的站点。

防范措施

HTML转义

防范XSS攻击最主要的方法是对用户输入的内容进行HTML转义，转义后可以确保用户输入的内容在浏览器中作为文本显示，而不是作为代码解析。

这里的转义和python的概念相同，即消除代码执行时的歧义，也就是把变量标记的内容标记文本，而不是HTML代码。具体来说，这会把变量中与HTML相关的符号转换为安全字符，以避免变量中包含影响页面输出的HTML标签或恶意的javaScript代码。

比如，在flask中我们可以使用JinJa2提供的escape()函数对用户传入的数据进行转义：

from jinja2 import escape
@app.route('/hello')
def hello():
    name = request.args.get('name')
    response = '<h1>Hello, %s!</h1>' %escape(name)

return response

在Jinja2中，HTML转义相关的功能通过flask的依赖包MarkupSafe实现。

调用escape()并传入用户输入的数据，可以获得转义后的内容，前面的示例中，用户输入的javaScript代码将被转义为：

&lt;script&gt;alert('Bingo!')&lt;/script&gt;

转义后，文本中的特殊字符（比如“>”和“<”）都将被转义为HTML实体（character entity）,这行文本最终在浏览器中会被显示文文本形式的Hello, <script>alert('Bingo!')</script>!

如图：

在python中，如果你想在单引号标记的字符串中显示一个单引号，那么你需要在单引号前添加一个反斜线来转义它，也就是把它标记为普通文本，而不是作为特殊字符解释。在HTML中，也存在许多保留的特殊字符，比如大于小于号。如果你想以文本显示这些字符，也需要对其进行转义，即使用HTML字符实体表示这些字符。HTML实体就是一些用来表示保留符号的特殊文本，比如&lt;表示小于号，&quot;表示双引号。

一般我们不会再视图函数中直接构造返回的HTML响应，而是会使用Jinja2来渲染包含变量的模板，

验证用户输入

XSS攻击可以在任何用户可定制内容的地方进行，例如图片引用、自定义链接。仅仅转义HTML中的特殊字符并不能完全规避XSS攻击，因为在某些HTML属性中，使用普通的字符也可以插入javaScript代码。除了转义用户输入外，我们还需要对用户的输入数据进行类型验证。在所有接收到用户输入的地方做好验证工作。

以某个程序的用户资料页面为例，我们来演示一下转义无法完全避免的 XSS攻击。程序允许用户输入个人资料中的个人网站地址，通过下面的方式显示在资料页面中：

<a href=”{{url}}”>Website</a>

其中{{url}}部分表示会被替换为用户输入的url变量值。如果不对URL进行验证，那么用户就可以写入javaScript代码，比如”javascript:alert(‘Bingo!’);”。因为这个值并不包含会被转义的<和>。最终页面上的连接代码会变为：

<a href=”javascript:alert(‘Bingo!’);”>Website</a>

当用户单击这个链接时，浏览器就会执行被href属性中设置的攻击代码。

另外，程序还允许用户设置头像图片的URL。这个图片通过下面的方式显示：

<img src=”{{url}}”>

类似的，{{url}}部分表示会被替换为用户输入的url变量值。如果不对输入的URL进行验证，那么用户可以将url设为”xxx”onerror=”alert(‘Bingo!’)”，最终的<img>标签就会变为：

<img src=”xxx”onerror=”alert(‘Bingo!’)”>

在这里因为src中传入了一个错误的URL，浏览器变回执行onerror属性中设置的javaScript代码。

如果你想允许部分HTML标签，比如<b>和<i>，可以使用HTML过滤工具对用户输入的数据进行过滤，仅保留少量允许使用的HTML标签，同时还要注意过滤HTML标签的属性。