XSS攻击防御

1.XSS攻击方式

  • 反射性
    发出请求时,XSS代码出现在URL中,作为查询字符串提交到服务器端,服务器端解析后,XSS代码随响应内容一起传回浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射性XSS。

    特点:可以强行在页面中插入内容,执行XSS脚本,黑客可以将URL发送给用户,可以通过img的onerror自动触发,或者通过button的click引诱触发,或者在页面中嵌入其他iframe植入广告

  • 存储性
    提交的代码会存储在服务端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。

实现方式:

  1. 添加额外的标签

    ,找不到图片会执行onerror事件处理程序。

  2. 添加额外的按钮,添加onclick属性onclick="alert(1)"或onmousemove,诱导用户点击。
  3. 如果用户将输出直接放在input的value属性中,可以直接添加onclick属性。
  4. 在a标签中添加属性,xss即为在页面以各种方式来运行你的js代码
express -e ./   //创建后端框架
<%= %>需要对内容进行转义
<%- %>不对内容进行转义

res.set('X-XSS-Protection',0);   //响应中不对XSS进行拦截

?xss=   //添加具有攻击性的查询字符串,即可添加到页面中

2.XSS的防御措施

  • 编码
    对用户输入的数据进行HTML Entity编码。

  • 过滤
    反转义后,将文本转换为DOM对象,找到标签开始,内容,结束。
    移除用户上传的DOM属性,如onerror等,能自动触发,onclick等与事件有关的属性。

    移除用户上传的Style节点(body{display: none!important}),Script节点,Iframe节点(能引入其他页面资源)等。

  • 校正
    避免直接对HTMLEntity解码
    使用DOM Parse转换(将文本转换为DOM节点),校正不配对的DOM标签

3.XSS防御实战

需要在获取后端数据后,对DOM树解析的时候进行过滤操作,DOM树解析可以用第三方库

  1. 过滤不安全的标签
    script, style, link, iframe, frame
  2. 过滤标签大部分属性

4.总结

  • XSS的攻击原理
  • 了解XSS攻击手段
  • 针对性防御
  • 动手操作模拟XSS攻击

你可能感兴趣的:(XSS攻击防御)