场景回顾

一个表单进行跨域提交的方式有很多,我们使用的采用隐藏iframe,在本域下放一个代理页面,通过服务端配合完成一次完整的请求。

首先,部署proxy.html代理页面。这个页面处理服务端返回的数据,并执行接口的回调函数。接口请求成功后,返回的是:

<script>location.href='http://www.a.com/proxy.html?fun=callback&a=1&b=2&c=3';</script>

proxy页面,解析服务端传回的参数最后执行:

callback({

        a:1,

        b:2,

        c:3

    });

这样就完成了一次,接口请求并且在请求成功后,执行回调。

其次,页面上需要有一个隐藏的iframe,把请求发到这个页面,然后接受返回值。

整体上是这么一个过程,实现了post请求的跨域提交。

proxy.html的代码:

<!doctype html>

<html><head><meta http-equiv="Content-Type" content="text/html; charset=utf-8" /></head><body><script type="text/javascript">

(function(){

		var queryStr = location.search.substring(1).split('&'),oneQueryStr,args = {},g = top,scope = top ,callback;

		for(var i in queryStr){

			oneQueryStr = queryStr[i].split('=');

			if(!callback && oneQueryStr[0] == 'fun'){

				callback = oneQueryStr[1];

			};

			if(oneQueryStr[0]&&oneQueryStr[1]){

				args[oneQueryStr[0]] = (oneQueryStr[1]||'').replace(/[><'"{}]/g, '');

			}

		}

		callback = callback.split('.');

		if( callback[0] === 'document'

			|| callback[0] === 'location'

			|| callback[0] === 'alert'){

		}else{

			for(var i = 0,len= callback.length;i<len;i++){

				if(i==0 && callback[0]=="parent"){

					g = parent;

					scope = parent;

				}else if(i==0 && callback[0]=="top"){

					g = top;

					scope = top;

				}else{

					if(i<len-1){

						scope = scope[callback[i]];

					}

					g = g[callback[i]];

				}

			}

			g.call(scope,args);

		}

})();

</script>

</body></html>

XSS漏洞

很显然,既然页面上执行了接口返回的数据。那么就必须对返回的数据进行过滤,这样才能防止恶意的代码进行攻击。

看了上面proxy.html的代码我们发现,已经处理了fun这个参数的值,不能为alert、document、location这些值。这是通过黑名单机制来进行判断的,一旦命中就无法执行。但是一直存在这么一个问题:我们能防的只是我们所了解的XSS漏洞,如果我们不知道,就需要遇到问题,解决问题,这样显然很被动。

有这么一个攻击案例,即便是我们已经过滤了alert、document这些window下的方法,但是还有我们不知道的方法无法防御,这就增大了我们的维护成本。在我们业务里,带来的问题是:每次调整这个文件,整个公司的业务可能都会被牵扯进来,都要升级很被动。

上面的这个例子就是掉用了页面上给window下扩展的$,这个变量对于前端的同学都不陌生。这个$能干的事情就更多了,简直太可怕了。这个案例只是打印了你的cookie,他可以做很多很多的事情,后果可以预想...

解决方案

还是要过滤fun参数,这个『万恶之源』,采用的方式的白名单+黑名单,双层防护。首先使用白名单进行过滤,白名单设置的是业务所用的函数名,其他的都不信任;其次,白名单如果验证通过后,在进行黑名单验证。为什么还需要这么异步操作呢?主要的担心有这么一个方法,白名单会通过,但是又是无用的方法,这样就可以使用黑名单在此过滤。

后续跟进

我现在的这个处理方式不一定是最好的,也可能存在问题。在这里提出,有两方面的考虑。其一:想要获得更好的方案来解决这个问题;其二:攻击和防守是一个持续的问题,需要一直跟进,逐渐找到合理的解决方案。如果有更好的方案,也希望不吝赐教!

一个跨域请求的XSS漏洞的更多相关文章

  1. 一个跨域请求的XSS漏洞再续

    上回提到,由于需要使用代理页面解决POST请求的跨域请求,需要在代理页面上执行传递的函数.所以我们做了白名单只有我们认可的回调函数才能在页面上执行,防止执行非法的JS方法,做脚本攻击. 我们所采用的方 ...

  2. 一个跨域请求的XSS续

    之前讨论过,在解决post跨域请求时,采用iframe+本域代理页的形式,兼容性(当然是包括IE6啦)是最好的.上次提到,代理页面的作用是:执行本域下的回调函数.就是这个原因,给XSS带来了便利.详细 ...

  3. CSRF(跨站请求伪造攻击)漏洞详解

    Cross-Site Request Forgery(CSRF),中文一般译作跨站点 请求伪造.经常入选owasp漏洞列表Top10,在当前web漏洞排行中,与XSS和SQL注入并列前三.与前两者相比 ...

  4. 跨域请求方式之Jsonp形式

    在浏览器端才有跨域安全限制一说,而在服务器端是没有跨域安全限制的. 在两个异构系统(开发语言不同)之间达到资源共享就需要发起一个跨域请求. 而浏览器的同源策略却限制了从一个源头的文档资源或脚本资源与来 ...

  5. access-Control-Allow-Origin跨域请求安全隐患

    最新的W3C标准里是这么实现HTTP跨域请求的,Cross-Origin Resource Sharing,就是跨域的目标服务器要返回一系列的Headers,通过这些Headers来控制是否同意跨域. ...

  6. jQuery jsonp跨域请求

    跨域的安全限制都是对浏览器端来说的,服务器端是不存在跨域安全限制的. 浏览器的同源策略限制从一个源加载的文档或脚本与来自另一个源的资源进行交互. 如果协议,端口和主机对于两个页面是相同的,则两个页面具 ...

  7. thinkphp 设置跨域请求

    场景:我的本地网页服务器无法访问本地的接口服务器接口提示一下错误:大致意思是:是一个跨域请求我的没有访问该地址的权限(接口服务器采用的是PHP编写) XMLHttpRequest cannot loa ...

  8. 在ASP.NET 5应用程序中的跨域请求功能详解

    在ASP.NET 5应用程序中的跨域请求功能详解 浏览器安全阻止了一个网页中向另外一个域提交请求,这个限制叫做同域策咯(same-origin policy),这组织了一个恶意网站从另外一个网站读取敏 ...

  9. Ajax+Spring MVC实现跨域请求(JSONP)JSONP 跨域

    JSONP原理及实现 接下来,来实际模拟一个跨域请求的解决方案.后端为Spring MVC架构的,前端则通过Ajax进行跨域访问. 1.首先客户端需要注册一个callback(服务端通过该callba ...

随机推荐

  1. 一个跨域请求的XSS漏洞再续

    上回提到,由于需要使用代理页面解决POST请求的跨域请求,需要在代理页面上执行传递的函数.所以我们做了白名单只有我们认可的回调函数才能在页面上执行,防止执行非法的JS方法,做脚本攻击. 我们所采用的方 ...

  2. 《Learn python the hard way》Exercise 48: Advanced User Input

    这几天有点时间,想学点Python基础,今天看到了<learn python the hard way>的 Ex48,这篇文章主要记录一些工具的安装,以及scan 函数的实现. 首先与Ex ...

  3. c指针点滴5-指针变量计算

    //接口dll _declspec(dllexport) void go() { char *p1; int *p2; p1 = (char*)0x30fa83;//每次运行exe的时候输出地址值不同 ...

  4. inconvertible types; cannot cast 'android.supoort.v4.app.Fragment' to 'com.example.sevenun.littledemo.fragment.NewsTitleFragment'

    inconvertible types; cannot cast 'android.supoort.v4.app.Fragment' to 'com.example.sevenun.littledem ...

  5. 利用libevent的timer实现定时器interval

    在不怎么了解libevent的情况下,看到timer这个关键字想到可以用来做定时任务,官方资料也不齐全,就从代码里看到了TIMEOUT字样,这么说来应该是支持timeout了,那interval呢,貌 ...

  6. 面试时遇到的SQL

    CustomerID DateTime ProductName Price C001 2014-11-20 16:02:59 123 PVC 100 C001 2014-11-19 16:02:59 ...

  7. Unity发送短信

    闲来无事,觉得用uinity来发送短信挺有意思的,所以自己差了点资料,看看能否实现,结果还真的可以!废话不多说,直接码! 1,新建一空工程,我们就简单的使用UGUI搭建一个丑陋的界面吧! 2,界面极其 ...

  8. Stm32高级定时器(四)

    Stm32高级定时器(四) 1 编码器接口模式 1.1 编码器原理 什么是正交?如果两个信号相位相差90度,则这两个信号称为正交.由于两个信号相差90度,因此可以根据两个信号哪个先哪个后来判断方向.根 ...

  9. 如何让div横向排列

    方法一: 一般情况,默认的div是写一个换一行,那么如何定义两个div横向排列而不换行呢? div默认的display属性是block.所以每一个div都是新的一行,现在把display换成inlin ...

  10. Activity-在ListFragment中为ListView增加空白视图

     有两种方法可以实现为ListView添加空白视图.但是原理都一样: 第一种方法是XML+代码添加: 1.定义emptyView视图 2.调用AdapterView的setEmptyView(empt ...