原文链接https://eggjs.org/zh-cn/intro/quickstart.html
XSS攻击
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。
Web 安全概念
Web 应用中存在很多安全风险,这些风险会被黑客利用,轻则篡改网页内容,重则窃取网站内部数据,更为严重的则是在网页中植入恶意代码,使得用户受到侵害。常见的安全漏洞如下:
- XSS 攻击:对 Web 页面注入脚本,使用 JavaScript 窃取用户信息,诱导用户操作。
- CSRF 攻击:伪造用户请求向网站发起恶意请求。
- 钓鱼攻击:利用网站的跳转链接或者图片制造钓鱼陷阱。
- HTTP参数污染:利用对参数格式验证的不完善,对服务器进行参数注入攻击。
- 远程代码执行:用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令。
而框架本身针对 Web 端常见的安全风险内置了丰富的解决方案:
- 利用 extend 机制扩展了 Helper API, 提供了各种模板过滤函数,防止钓鱼或 XSS 攻击。
- 常见 Web 安全头的支持。
- CSRF 的防御方案。
- 灵活的安全配置,可以匹配不同的请求 url 。
- 可定制的白名单,用于安全跳转和 url 过滤。
- 各种模板相关的工具函数做预处理。
在框架中内置了安全插件 egg-security, 提供了默认的安全实践。
开启与关闭配置
注意:除非清楚的确认后果,否则不建议擅自关闭安全插件提供的功能。
框架的安全插件是默认开启的,如果我们想关闭其中一些安全防范,直接设置该项的 enable
属性为 false 即可。例如关闭 xframe 防范:
exports.security = {
xframe: {
enable: false,
},
};
match 和 ignore
match 和 ignore 使用方法和格式与中间件通用配置一致。
如果只想开启针对某一路径,则配置 match 选项,例如只针对 /example
开启 CSP:
exports.security = {
csp: {
match: '/example',
policy: {
//...
},
},
};
如果需要针对某一路径忽略某安全选项,则配置 ignore 选项,例如针对 /example
关闭 xframe,以便合作商户能够嵌入我们的页面:
exports.security = {
csp: {
ignore: '/example',
xframe: {
//...
},
},
};
如果要针对内部 ip 关闭部分安全防范:
exports.security = {
csrf: {
// 判断是否需要 ignore 的方法,请求上下文 context 作为第一个参数
ignore: ctx => isInnerIp(ctx.ip),
},
}
下面我们会针对具体的场景,来讲解如何使用框架提供的安全方案进行 Web 安全防范。
安全威胁XSS
的防范
XSS(cross-site scripting跨域脚本攻击)攻击是最常见的 Web 攻击,其重点是『跨域』和『客户端执行』。
XSS 攻击一般分为两类:
- Reflected XSS(反射型的 XSS 攻击)
- Stored XSS(存储型的 XSS 攻击)
Reflected XSS
反射型的 XSS 攻击,主要是由于服务端接收到客户端的不安全输入,在客户端触发执行从而发起 Web 攻击。比如:
在某购物网站搜索物品,搜索结果会显示搜索的关键词。搜索关键词填入, 点击搜索。页面没有对关键词进行过滤,这段代码就会直接在页面上执行,弹出 alert。
防范方式
框架提供了 helper.escape()
方法对字符串进行 XSS 过滤。
const str = '><';
console.log(ctx.helper.escape(str));
// => ><script>alert("abc") </script><
当网站需要直接输出用户输入的结果时,请务必使用 helper.escape()
包裹起来,如在 egg-view-nunjucks 里面就覆盖掉了内置的 escape
。
另外一种情况,网站输出的内容会提供给 JavaScript 来使用。这个时候需要使用 helper.sjs()
来进行过滤。
helper.sjs()
用于在 JavaScript(包括 onload 等 event)中输出变量,会对变量中字符进行 JavaScript ENCODE, 将所有非白名单字符转义为 \x
形式,防止 XSS 攻击,也确保在 js 中输出的正确性。使用实例:
const foo = '"hello"';
// 未使用 sjs
console.log(`var foo = "${foo}";`);
// => var foo = ""hello"";
// 使用 sjs
console.log(`var foo = "${this.helper.sjs(foo)}";`);
// => var foo = "\\x22hello\\x22";
还有一种情况,有时候我们需要在 JavaScript 中输出 json ,若未做转义,易被利用为 XSS 漏洞。框架提供了 helper.sjson()
宏做 json encode,会遍历 json 中的 key ,将 value 的值中,所有非白名单字符转义为 \x
形式,防止 XSS 攻击。同时保持 json 结构不变。 若存在模板中输出一个 JSON 字符串给 JavaScript 使用的场景,请使用 helper.sjson(变量名)
进行转义。
处理过程较复杂,性能损耗较大,请仅在必要时使用。
实例:
Stored XSS
基于存储的 XSS 攻击,是通过提交带有恶意脚本的内容存储在服务器上,当其他人看到这些内容时发起 Web 攻击。一般提交的内容都是通过一些富文本编辑器编辑的,很容易插入危险代码。
防范方式
框架提供了 helper.shtml()
方法对字符串进行 XSS 过滤。
注意,将富文本(包含 HTML 代码的文本)当成变量直接在模版里面输出时,需要用到 shtml 来处理。 使用 shtml 可以输出 HTML 的 tag,同时执行 XSS 的过滤动作,过滤掉非法的脚本。
由于是一个非常复杂的安全处理过程,对服务器处理性能一定影响,如果不是输出 HTML,请勿使用。
简单示例:
// js
const value = `google`;
// 模板
{{ helper.shtml(value) }}
// => google<script>evilcode…</script>
shtml 在 xss 模块基础上增加了针对域名的过滤。
- 默认规则
- 自定义过滤项: http://jsxss.com/zh/options.html
例如只支持 a 标签,且除了 title 其他属性都过滤掉: whiteList: {a: ['title']}
options:
-
config.helper.shtml.domainWhiteList: []
可拓展 href 和 src 中允许的域名白名单。
注意,shtml 使用了严格的白名单机制,除了过滤掉 XSS 风险的字符串外, 在默认规则外的 tag 和 attr 都会被过滤掉。
例如 HTML 标签就不在白名单中,
const html = '';
// html
{{ helper.shtml(html) }}
// 输出空
常见的 data-xx
属性由于不在白名单中,所以都会被过滤。
所以,一定要注意 shtml 的适用场景,一般是针对来自用户的富文本输入,切忌滥用,功能既受到限制,又会影响服务端性能。 此类场景一般是论坛、评论系统等,即便是论坛等如果不支持 HTML 内容输入,也不要使用此 Helper,直接使用 escape
即可。
JSONP XSS
JSONP 的 callback 参数非常危险,他有两种风险可能导致 XSS
1、callback 参数意外截断js代码,特殊字符单引号双引号,换行符均存在风险。
2、callback 参数恶意添加标签(如 ),造成 XSS 漏洞。
参考 JSONP 安全攻防
框架内部使用 jsonp-body 来对 JSONP 请求进行安全防范。
防御内容:
- callback 函数名词最长 50 个字符限制
- callback 函数名只允许
[
,]
,a-zA-Z0123456789_
,$
,.
,防止一般的 XSS,utf-7 XSS等攻击。
可定义配置:
- callback 默认
_callback
,可以重命名。 - limit - 函数名 length 限制,默认 50。
其他 XSS 的防范方式
浏览器自身具有一定针对各种攻击的防范能力,他们一般是通过开启 Web 安全头生效的。框架内置了一些常见的 Web 安全头的支持。
CSP
W3C 的 Content Security Policy,简称 CSP,主要是用来定义页面可以加载哪些资源,减少 XSS 的发生。
框架内支持 CSP 的配置,不过是默认关闭的,开启后可以有效的防止 XSS 攻击的发生。要配置 CSP , 需要对 CSP 的 policy 策略有了解,具体细节可以参考 CSP 是什么。
X-Download-Options:noopen
默认开启,禁用 IE 下下载框Open按钮,防止 IE 下下载文件默认被打开 XSS。
X-Content-Type-Options:nosniff
禁用 IE8 自动嗅探 mime 功能例如 text/plain
却当成 text/html
渲染,特别当本站点 serve 的内容未必可信的时候。
X-XSS-Protection
IE 提供的一些 XSS 检测与防范,默认开启
- close 默认值false,即设置为
1; mode=block
安全威胁 CSRF 的防范
CSRF(Cross-site request forgery跨站请求伪造,也被称为 One Click Attack
或者 Session Riding
,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。 CSRF 攻击会对网站发起恶意伪造的请求,严重影响网站的安全。因此框架内置了 CSRF 防范方案。
防范方式
通常来说,对于 CSRF 攻击有一些通用的防范方案,简单的介绍几种常用的防范方案:
- Synchronizer Tokens:通过响应页面时将 token 渲染到页面上,在 form 表单提交的时候通过隐藏域提交上来。
- Double Cookie Defense:将 token 设置在 Cookie 中,在提交 post 请求的时候提交 Cookie,并通过 header 或者 body 带上 Cookie 中的 token,服务端进行对比校验。
- Custom Header:信任带有特定的 header(例如
X-Requested-With: XMLHttpRequest
)的请求。这个方案可以被绕过,所以 rails 和 django 等框架都放弃了该防范方式。
框架结合了上述几种防范方式,提供了一个可配置的 CSRF 防范策略。
使用方式
同步表单的 CSRF 校验
在同步渲染页面时,在表单请求中增加一个 name 为 _csrf
的 url query,值为 ctx.csrf
,这样用户在提交这个表单的时候会将 CSRF token 提交上来:
传递 CSRF token 的字段可以在配置中改变:
// config/config.default.js
module.exports = {
security: {
csrf: {
queryName: '_csrf', // 通过 query 传递 CSRF token 的默认字段为 _csrf
bodyName: '_csrf', // 通过 body 传递 CSRF token 的默认字段为 _csrf
},
},
};
为了防范 BREACH 攻击,通过同步方式渲染到页面上的 CSRF token 在每次请求时都会变化,egg-view-nunjucks 等 View 插件会自动对 Form 进行注入,对应用开发者无感知。
AJAX 请求
在 CSRF 默认配置下,token 会被设置在 Cookie 中,在 AJAX 请求的时候,可以从 Cookie 中取到 token,放置到 query、body 或者 header 中发送给服务端。
In jQuery:
var csrftoken = Cookies.get('csrfToken');
function csrfSafeMethod(method) {
// these HTTP methods do not require CSRF protection
return (/^(GET|HEAD|OPTIONS|TRACE)$/.test(method));
}
$.ajaxSetup({
beforeSend: function(xhr, settings) {
if (!csrfSafeMethod(settings.type) && !this.crossDomain) {
xhr.setRequestHeader('x-csrf-token', csrftoken);
}
},
});
通过 header 传递 CSRF token 的字段也可以在配置中改变:
// config/config.default.js
module.exports = {
security: {
csrf: {
headerName: 'x-csrf-token', // 通过 header 传递 CSRF token 的默认字段为 x-csrf-token
},
},
};
Session vs Cookie 存储
默认配置下,框架会将 CSRF token 存在 Cookie 中,以方便 AJAX 请求获取到。但是所有的子域名都可以设置 Cookie,因此当我们的应用处于无法保证所有的子域名都受控的情况下,存放在 Cookie 中可能有被 CSRF 攻击的风险。框架提供了一个配置项,可以将 token 存放到 Session 中。
// config/config.default.js
module.exports = {
security: {
csrf: {
useSession: true, // 默认为 false,当设置为 true 时,将会把 csrf token 保存到 Session 中
cookieName: 'csrfToken', // Cookie 中的字段名,默认为 csrfToken
sessionName: 'csrfToken', // Session 中的字段名,默认为 csrfToken
},
},
};
忽略 JSON 请求(已废弃)
注意:该选项已废弃,攻击者可以通过 flash + 307 来攻破,请不要在生产环境打开改选项!
在 SOP 的安全策略保护下,基本上所有的现代浏览器都不允许跨域发起 content-type 为 JSON 的请求,因此我们可以直接放过类型的 JSON 格式的请求。
// config/config.default.js
module.exports = {
security: {
csrf: {
ignoreJSON: true, // 默认为 false,当设置为 true 时,将会放过所有 content-type 为 `application/json` 的请求
},
},
};
刷新 CSRF token
当 CSRF token 存储在 Cookie 中时,一旦在同一个浏览器上发生用户切换,新登陆的用户将会依旧使用旧的 token(之前用户使用的),这会带来一定的安全风险,因此在每次用户登陆的时候都必须刷新 CSRF token。
// login controller
exports.login = function* (ctx) {
const { username, password } = ctx.request.body;
const user = yield ctx.service.user.find({ username, password });
if (!user) ctx.throw(403);
ctx.session = { user };
// 调用 rotateCsrfSecret 刷新用户的 CSRF token
ctx.rotateCsrfSecret();
ctx.body = { success: true };
}
安全威胁 SSRF 的防范
通过 Server-Side Request Forgery(SSRF) 攻击,攻击者可以发起网络请求访问或者操作内部网络的资源。
一般来说,SSRF 安全漏洞常见于开发者在服务端直接请求客户端传递进来的 URL 资源,一旦攻击者传入一些内部的 URL 即可发起 SSRF 攻击。
如何防范
通常我们会基于内网 IP 黑名单的形式来防范 SSRF 攻击,通过对解析域名后得到的 IP 做过滤,禁止访问内部 IP 地址来达到防范 SSRF 攻击的目的。
框架在 ctx
, app
和 agent
上都提供了 safeCurl
方法,在发起网络请求的同时会对指定的内网 IP 地址过滤,除此之外,该方法和框架提供的 curl
方法一致。
ctx.safeCurl(url, options)
app.safeCurl(url, options)
agent.safeCurl(url, options)
配置
直接调用 safeCurl
方法其实并没有任何作用,还需要配合安全配置项。
-
ipBlackList
(Array) - 配置内网 IP 名单,在这些网段内的 IP 地址无法被访问。 -
checkAddress
(Function) - 直接配置一个检查 IP 地址的函数,根据函数的返回值来判断是否允许在safeCurl
中被访问,当返回非true
时,该 IP 无法被访问。checkAddress
优先级高于ipBlackList
。
// config/config.default.js
exports.security = {
ssrf: {
ipBlackList: [
'10.0.0.0/8', // 支持 IP 网段
'0.0.0.0/32',
'127.0.0.1', // 支持指定 IP 地址
],
// 配置了 checkAddress 时,ipBlackList 不会生效
checkAddress(ip) {
return ip !== '127.0.0.1';
},
},
};