美文网首页xss@IT·互联网程序员
4类防御XSS的有效方法

4类防御XSS的有效方法

作者: MapleMeowMeow | 来源:发表于2016-09-21 11:06 被阅读326次

    最近在看《白帽子讲Web安全》这本书,对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。


    XSS的本质

    XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页面原本的语义,产生了新的语义。以下面这种情况为例:

    <a href="$var">test</a>
    

    将$var的值注入到页面中,本来是为了提供一个跳转用的url地址。但若将$var的值设为" onclick=alert(1)\,则以上HTML变为了:

    <a href="" onclick=alert(1) \">test</a>
    

    点击test文字后,会进行alert输出,即改变了原有的HTML语义。


    HtmlEncode

    当$var变量出现在HTML标签或属性中时,XSS可分别通过以下两种方法来进行注入。

    1. 在HTML标签中,如下所示:
    <p>$var</p>
    

    若不对$var进行任何处理,当$var的值为<script>alert(1)</script>时,在一些老式的浏览器中,HTML代码如下:

    <p><script>alert(1)</script></p>
    

    则这些浏览器会执行alert的js操作,实现了XSS注入。

    1. 在HTML属性中,如下所示:
    <p name="$var">test</p>
    

    若不对$var进行任何处理,当$var的值为"> <script>alert(1)</script>时,HTML代码如下:

    <p name=""> <script>alert(1)</script>">test</p>
    

    则浏览器会执行alert的js操作,实现了XSS注入。

    为了防御这两种XSS,可以采用对$var变量进行HtmlEncode的方法。HtmlEncode的作用是将$var的一些字符进行转化,使得浏览器在最终输出结果上是一样的,但能够防止注入的JavaScript执行。

    HtmlEncode支持的转换举例如下:

    & --> &
    < --> <
    > --> >
    

    <script>alert(1)</script>
    

    为例,对$var进行HtmlEncode后的结果为:

    <script>alert(1)</script>
    

    以上HTML在浏览器中的显示结果就是<script>alert(1)</script>,实现了将$var作为纯文本进行了输出,且不引起JavaScript的执行。


    JavaScriptEncode

    当$var变量出现在<script>标签内或其它JavaScript的执行环境中时,XSS可通过以下方法来进行注入,示例如下:

    <script>
        var x = "$var";
    </script>
    

    若不对$var进行任何处理,当$var的值为";alert(1);"时,JavaScript代码如下:

    <script>
        var x = "";alert(1);""
    </script>
    

    则浏览器会执行alert的js操作,实现了XSS注入。

    为了防御这种XSS,可以采用对$var变量进行JavaScriptEncode的方法。JavaScriptEncode的作用可以是将$var中除了数字、字母外的所有字符进行十六进制化处理,使得浏览器最终输出结果上是一样的,但能够防止注入的JavaScript执行。

    ";alert(1);"
    

    为例,对$var进行JavaScriptEncode后的结果为:

    \x22\x3balert\x281\x29\x3b\x22
    

    其中\x28代表(,\x29代表),以上字符串在JavaScript环境中即为"alert(1)",内容不变,但XSS并不执行。


    CSSEncode

    当$var变量出现在<style>标签内或其它css的执行环境中时,XSS的注入和防御原理同JavaScript。在此不累述了。
    css中xss的注入,在现在的浏览器中基本已经被禁止了,因此也比较少见。


    URLEncode

    当$var变量出现在url跳转地址中时,XSS可通过以下方法来进行注入,示例如下:

    <a href="http://www.evil.com?test=$var">test</a>
    

    若不对$var进行任何处理,当$var的值为" onclick="alert(1);return false;"时,代码如下:

    <a href="http://www.evil.com?test=" onclick="alert(1);return false;">test</a>
    

    此时就会阻止了url页面跳转,实现了XSS注入。

    为了防御这种XSS,可以采用对$var变量进行URLEncode的方法。URLEncode的作用是将字符转化为%HH的形式,支持的转换举例如下:

    空格 --> %20
    < --> %3c
    > --> %3e
    

    以上述的

    " onclick="alert(1);return false;"
    

    为例,URLEncode后的结果如下:

    %22%20onclick%3d%22alert%281%29%3breturn%20false%3b%22
    

    原有代码变为:

    <a href="http://www.evil.com?test=%22%20onclick%3d%22alert%281%29%3breturn%20false%3b%22">test</a>
    

    此时便阻止了XSS的注入。

    如果上述例子改为:

    <a href="$var">test</a>
    

    即$var指代了完整的url地址,则可能出现以下两种情况:

    <a href="javascript:alert(1)">test</a>
    
    <a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">test2</a>
    

    这两种代码都能够注入XSS,为了防御这些情况,可以先检测$var中是否包含url的protocol字段,如果没有,就加上,再对整个url进行URLEncode处理。


    结语

    以上是我的一些经验与心得,若有不足之处,请予指正。希望这篇文章对你有所帮助_

    相关文章

      网友评论

        本文标题:4类防御XSS的有效方法

        本文链接:https://www.haomeiwen.com/subject/idzoettx.html