Web安全开发建议

Web安全问题，很多时候会被人所忽略，安全漏洞造成了很多不必要的维护和开发任务，产生的问题有时候更是致命的。

实际上，只要我们养成一些习惯，知道一些安全问题的基本原理，可以很大程度避免问题的出现，这也是一个优秀Web程序员的必备素质。

UI变量转义规范

什么是UI变量？凡是出现在HTML中由后端输出（或由JSON渲染）的变量都可称之为UI变量，它可以是PHP变量、Smarty变量、JSP变量或前端模版变量等等。

有些模版自带了转义功能，比如Smarty可以对HTML或JavaScript转义：

Data: <h1>"Ricky"</h1>

Template: <{$name|escape:html|escape:javascript}>

Output: &lt;h1&gt;&quot;Ricky&quot;&lt;\/h1&gt;

Mustache默认自动对HTML转义（双花括号是wiki的语法，所以本文Mustache模版标签用{<>}表示）：

Data: <h1>Ricky</h1>

Template: {<name>}

Output: &lt;h1&gt;Ricky&lt;\/h1&gt;

如果不想转义，可以使用3个花括号：{{{name}}}

注意：当没有使用具有转义功能的模版时，一定要在程序中对UI变量进行转义。对后端传来的数据，都采取不信任的策略。

根据UI变量出现的位置不同，转义规则也不同，常见的有以下几种情况：

UI变量出现在HTML标签中或标签的属性中

实例：

<div>{<content>}</div>

<input type='checkbox' value='{<value1>}' />

<input type="text" value="{<value2>}" />

转义规则：

字符	转义	漏洞实例
<	<	{<content>} = <h1>I am bigger</h1>
>	>	{<content>} = <h1>I am bigger</h1>
'	&#39	{<value1>} = '/><script>alert(0)</script>…
"	"	{<value2>} = "/><script>alert(0)</script>…
&	& （可选）	如果不转义，则用户可以输入不可见字符，如：  如果转义，则用户输入的某些字符不能正确显示，如：©

UI变量出现在<script>标签中

实例：

<script>

    var email = '{<email>}';

    var name = "{<name>}";

    /*{<sex>} will not use */

</script>

转义规则：

字符	转义	漏洞实例
'	\'	{<email>} = ';alert(0);…
"	\"	{<name>} = ";alert(0);…
\	\\	{<name>} = \ 报错：unterminated string literal
/	\/	{<name>} = ";</script><script>alert(0);… {<sex>} = */alert(0);…
\n	\n	{<email>} = a@a.com b@b.com 报错：unterminated string literal
\r	\r	{<email>} = a@a.com b@b.com 报错：unterminated string literal

注意：注释也会存在漏洞，代码上线前要进行压缩，去掉注释。

UI变量出现在JS环境的innerHTML插入字符串中

实例：

<script>

    $("#tip").innerHTML = "您好！" + "{<username>}";

</script>

转义规则：

字符	转义
先进行HTML转义，再进行JavaScript转义
<	<	{<username>} = ";</script><script>document.body.innerHTML = "<h1>Ricky</h1>
>	>
'	\'
"	\"
\	\\
/	\/
\n	\n
\r	\r

UI变量出现在HTML页面onclick等事件函数的参数中

实例：

<input type="button"  value="提交" />

转义规则：

字符	转义	漏洞实例
先进行JavaScript转义，再进行HTML转义
'	\'	{<data>} = ')"/><input name="
"	\"
\	\\
/	\/（可选）
\n	\n
\r	\r
<	<
>	>

注意：实际开发中，应使用事件绑定，避免这种写法。

UI变量出现在URL中

实例：

<a href="http://xuri.agent.sogou.com/{<path>}">进入旭日</a>

转义规则：

字符	转义	漏洞实例
非字母、数字字符	encodeURIComponent	{<path>} = "></a>…

其他注意事项

从cookie/url中获取数据

实例：

<script>

   var url = location.href;

   //var cookie = document.cookie;

   $("#Show").html(encodeHTML(url));

</script>

说明：从cookie或页面的url中获取的数据都是不可信任的，可能包含恶意代码。

避免document.write + location.href的写法

实例：

<script>

   document.write('<input type="hidden" name="url" value="' + location.href + '" />');

</script>

正确写法：

<input type="hidden" name="url" value="" />

<script>

   document.getElementsByName("url").value = location.href;

</script>

说明：直接向页面输出带有url的HTML，可能会执行含恶意代码。

谨慎使用document.domain解决跨域问题

说明：当域为a.sogou.com的A页面内嵌域为b.sogou.com的B页面时，可以通过设置domain为sogou.com使两个页面进行通信。但这样的设置使安全隐患得以扩大化，如果B页面存在XSS漏洞，那么就可以通过B页面操控正常的A页面。

Json数据conentType的设置

说明：Json数据的Response要设置contentType为“text/javascript”，避免未设置或者设置成“text/html”。否则容易注入JavaScript脚本，并当着普通页面来运行。

Flash跨域crossdomain.xml配置

做跨域通信通常会用到Flash，这需要在server部署一个crossdomain.xml文件，通常为：

<?xml version="1.0"?>

<cross-domain-policy>

    <allow-access-from domain="*" />

</cross-domain-policy>

这表示允许任何域的Flash对本server进行访问，如果Flash是用户上传的，就可能包含恶意代码。

解决办法：只允许搜狗域的Flash访问

<?xml version="1.0"?>

<cross-domain-policy>

    <allow-access-from domain="*.sogou.com" />

</cross-domain-policy>

在页面中插入Flash的安全设置

如果展现来自用户上传的Flash，需要设置一下2个参数：

allowScriptAccess: "never" //绝对禁止Flash与页面元素及脚本的通讯
allowNetworking: "none" //禁止任何的网络通讯

不要随意嵌套第三方页面

不要使用iframe或者其他形式随意嵌套第三方页面，第三方页面会包含不可控的因素，譬如含有攻击浏览者的恶意代码。如果第三方页面存在漏洞，攻击者可以通过攻击第三方来实现攻击父页面。

防范CSRF（跨站点请求伪造）攻击

尽量使用POST提交
添加refer的检查
form表单提交添加图形验证码
添加token验证