关于XSS攻击的一些总结

昨晚面试第一个问题就被问到了项目中登录界面的XSS和CSRF攻击,与以往面试不同,感觉这次更偏重于实战,今天研究一下这方面的内容,面经是不敢写了,我怕再收到律师函(狗头保命)

  • 含义:XSS即跨站脚本(Cross Site Scripting)曾经简称CSS,但是为了和层叠样式表(Cascading Style Sheets),也就是前端三大元素之一的CSS区别,因此被称为XSS。具体描述见XSS概述
  • 原理:总所周知,HTML是一种超文本标记语言,作为前端语言的“骨”,通过将一些字符特殊地对待来区别文本和标记,最常见的就是<,例如 "< div >< p >(PS:差点忘了markdown格式会把这类标签视为语法格式)那么攻击者通过某种手段将<等特殊符号插入,那么浏览器将会视为一段HTML标签,并将其运行,如果这段代码内含有JavaScript代码,那么该脚本同样会被浏览器执行。
  • 分类:主要分为三大类
  1. 反射性XSS,前台发出请求时,XSS代码出现在URL中,作为输入提交到后台,后台解析后响应,XSS代码随响应内容一起传回给前台浏览器,最后浏览器解析执行XSS代码。
  2. 存储型XSS,存储型XSS和反射型XSS的差别不大,区别在于存储型XSS并不会直接执行,提交的代码会存储在数据库等后台进行缓存,下次请求目标页面时不用再提交XSS代码,直接从后台调用。记得有一次长发现我们网站的一个BUG,提交一段代码
<script>alert('Hello,World!');</script>

作为代码评测网站,可以查看提交内容,当查看时,就会出现弹窗,因为进行查看申请后,系统会从数据库查询内容出来并显示,浏览器发现有XSS代码,浏览器由于未识别特殊字符,就当做正常的HTML与Js解析执行,于是触发了XSS攻击,修复方式为HTML转义。

  1. DOM XSS,与前两者不同,DOM XSS不需要后台服务端的参与,只与前台浏览器有关,触发XSS靠的是浏览器端的DOM解析。该类攻击造成的后果与DOM操作有关,可以输出某个节点的内容,修改DOM树,甚至增加删除DOM节点。
  • 防御:
  1. 输入过滤输出转义:输入过滤就是对提交的所有内容进行过滤,对url中的参数进行过滤,过滤掉会导致脚本执行的相关内容,比如对参数中所有“javascript”这个关键字进行检索,但是这种鉴别不够灵活,凡是提交的信息中各有“javascript”时,就被硬性的被判定为XSS攻击然。输出转义既为对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行。
  2. 在HTTP头部配上,set-cookie:
    httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。
    secure - 这个属性告诉浏览器仅在请求为https的时候发送cookie。

你可能感兴趣的:(前端,计网)