XSS攻击防御

1.XSS攻击方式

• 反射性
  发出请求时，XSS代码出现在URL中，作为查询字符串提交到服务器端，服务器端解析后，XSS代码随响应内容一起传回浏览器，最后浏览器解析执行XSS代码。这个过程像一次反射，故叫反射性XSS。

  特点：可以强行在页面中插入内容，执行XSS脚本，黑客可以将URL发送给用户，可以通过img的onerror自动触发，或者通过button的click引诱触发，或者在页面中嵌入其他iframe植入广告

• 存储性
  提交的代码会存储在服务端（数据库，内存，文件系统等），下次请求目标页面时不用再提交XSS代码。

实现方式：

1. 添加额外的标签

   ,找不到图片会执行onerror事件处理程序。

2. 添加额外的按钮，添加onclick属性onclick="alert(1)"或onmousemove,诱导用户点击。
3. 如果用户将输出直接放在input的value属性中，可以直接添加onclick属性。
4. 在a标签中添加属性,xss即为在页面以各种方式来运行你的js代码

express -e ./   //创建后端框架
<%= %>需要对内容进行转义
<%- %>不对内容进行转义

res.set('X-XSS-Protection',0);   //响应中不对XSS进行拦截

?xss=   //添加具有攻击性的查询字符串，即可添加到页面中

2.XSS的防御措施

• 编码
  对用户输入的数据进行HTML Entity编码。

• 过滤
  反转义后，将文本转换为DOM对象，找到标签开始，内容，结束。
  移除用户上传的DOM属性，如onerror等，能自动触发，onclick等与事件有关的属性。

  移除用户上传的Style节点(body{display: none!important})，Script节点，Iframe节点(能引入其他页面资源)等。

• 校正
  避免直接对HTMLEntity解码
  使用DOM Parse转换（将文本转换为DOM节点），校正不配对的DOM标签

3.XSS防御实战

需要在获取后端数据后，对DOM树解析的时候进行过滤操作，DOM树解析可以用第三方库

1. 过滤不安全的标签
   script, style, link, iframe, frame
2. 过滤标签大部分属性

4.总结

• XSS的攻击原理
• 了解XSS攻击手段
• 针对性防御
• 动手操作模拟XSS攻击