xss攻击和防御

简介

XSS攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

1、基础概念

　　XSS（Cross Site Scripting）攻击全称跨站脚本攻击，是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS，XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。（摘自百度百科）

2、主要危害

　　1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号
　　2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力
　　3、盗窃企业重要的具有商业价值的资料
　　4、非法转账
　　5、强制发送电子邮件
　　6、网站挂马
　　7、控制受害者机器向其它网站发起攻击

3、攻击方式

　　1、反射型

　　反射型XSS，也叫非持久型XSS，是指发生请求时，XSS代码出现在请求URL中，作为参数提交到服务器，服务器解析并响应。响应结果中包含XSS代码，最后浏览器解析并执行。从概念上可以看出，反射型XSS代码是首先出现在URL中的，然后需要服务端解析，最后需要浏览器解析之后XSS代码才能够攻击。

　　这类通常使用URL，具体流程：

　　1、Alice给Bob发送一个恶意构造了Web的URL。
　　2、Bob点击并查看了这个URL。
　　3、恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在Bob电脑上。
　　4、具有漏洞的HTML页面包含了在Bob电脑本地域执行的JavaScript。
　　5、Alice的恶意脚本可以在Bob的电脑上执行Bob所持有的权限下的命令。

　　举个列子：

　　http://localhost:8080/helloController/search?name=<script>alert("hey!")</script>

　　http://localhost:8080/helloController/search?name=<img src='w.123' onerror='alert("hey!")'>

　　http://localhost:8080/helloController/search?name=<a onclick='alert("hey!")'>点我</a>

　　服务端代码片段，只做了一个简单的字符串连接就返回给客户端。

　　

　　我们可以看到Google Chrome是有做处理的相对比较安全，但是Firefox就没有。

　　

　　

　　

　　2、存储型

　　存储型XSS，也叫持久型XSS，主要是将XSS代码发送到服务器（不管是数据库、内存还是文件系统等。），然后在下次请求页面的时候就不用带上XSS代码了。最典型的就是留言板XSS。用户提交了一条包含XSS代码的留言到数据库。当目标用户查询留言时，那些留言的内容会从服务器解析之后加载出来。浏览器发现有XSS代码，就当做正常的HTML和JS解析执行。XSS攻击就发生了。

　　常用来干嘛？

　　1、窃取用户信息，如cookie，token，账号密码等。

　　例如：张三发了一篇帖子，李四进行回复：但内容却是一段js脚本，这篇帖子被他人浏览的时候就会中招，例子中的只是一个alert()，但脚本可以写的比较复杂一点盗用用户cookie等等操作。

　　

　　

　　2、除了这种hacker还有个很惯用的伎俩，例如存储型XSS生成一些诱人的图片，文字（你懂的！），然后用户去点击的时候就可以执行某些坏事，窃取信息或者诱导到钓鱼网站。

　　< img onclick="window.location.href='http://www.baidu.com'" width='300' src='img/webwxgetmsgimg.jpg'/>

　　

　　

　　点击图片后，就会进入到目标网站了。

　　

　　3、劫持流量实现恶意跳转

　　用户打开的网址，会默认跳转至指定网站，脚本如下：

　<script>window.location.href="http://www.baidu.com";</script>

4、防范手段

　　1、入参字符过滤

　　在源头控制，把输入的一些不合法的东西都过滤掉，从而保证安全性。如移除用户提交的的DOM属性如onerror，移除用户上传的Style节点，<iframe>, <script>，<a>节点等

　　2、出参进行编码

　　如果源头没控制好，就得后期补救了：像一些常见的符号，如<>在输出的时候要对其进行转换编码，这样做浏览器是不会对该标签进行解释执行的，同时也不影响显示效果。例如：对<>做编码如："<"用:"&lt;",">"用:"&gt;"来代替。

　　3、入参长度限制

　　通过以上的案例我们不难发现xss攻击要能达成往往需要较长的字符串，因此对于一些可以预期的输入可以通过限制长度强制截断来进行防御。

　　4、设置cookie httponly为true

　　具体详情请参考：https://www.cnblogs.com/mao2080/p/9520185.html

5、参考网站

　　https://www.cnblogs.com/unclekeith/p/7750681.html

　　https://baike.baidu.com/item/XSS%E6%94%BB%E5%87%BB/954065?fr=aladdin

　　https://zhuanlan.zhihu.com/p/26177815

　　https://www.imooc.com/learn/812