最近在看《白帽子讲Web安全》这本书,对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。
XSS的本质
XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页面原本的语义,产生了新的语义。以下面这种情况为例:
test
将$var的值注入到页面中,本来是为了提供一个跳转用的url地址。但若将$var的值设为" onclick=alert(1)\,则以上HTML变为了:
test
点击test文字后,会进行alert输出,即改变了原有的HTML语义。
HtmlEncode
当$var变量出现在HTML标签或属性中时,XSS可分别通过以下两种方法来进行注入。
- 在HTML标签中,如下所示:
$var
若不对$var进行任何处理,当$var的值为时,在一些老式的浏览器中,HTML代码如下:
则这些浏览器会执行alert的js操作,实现了XSS注入。
- 在HTML属性中,如下所示:
test
若不对$var进行任何处理,当$var的值为"> 时,HTML代码如下:
">test
则浏览器会执行alert的js操作,实现了XSS注入。
为了防御这两种XSS,可以采用对$var变量进行HtmlEncode的方法。HtmlEncode的作用是将$var的一些字符进行转化,使得浏览器在最终输出结果上是一样的,但能够防止注入的JavaScript执行。
HtmlEncode支持的转换举例如下:
& --> &
< --> <
> --> >
以
为例,对$var进行HtmlEncode后的结果为:
以上HTML在浏览器中的显示结果就是,实现了将$var作为纯文本进行了输出,且不引起JavaScript的执行。
JavaScriptEncode
当$var变量出现在
若不对$var进行任何处理,当$var的值为";alert(1);"时,JavaScript代码如下:
则浏览器会执行alert的js操作,实现了XSS注入。
为了防御这种XSS,可以采用对$var变量进行JavaScriptEncode的方法。JavaScriptEncode的作用可以是将$var中除了数字、字母外的所有字符进行十六进制化处理,使得浏览器最终输出结果上是一样的,但能够防止注入的JavaScript执行。
以
";alert(1);"
为例,对$var进行JavaScriptEncode后的结果为:
\x22\x3balert\x281\x29\x3b\x22
其中\x28代表(,\x29代表),以上字符串在JavaScript环境中即为"alert(1)",内容不变,但XSS并不执行。
CSSEncode
当$var变量出现在