最近在看《白帽子讲Web安全》这本书，对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。

---

XSS的本质

XSS事件发生在网站前端，在相关的数据替换到前端页面中时，新旧数据结合，混淆了页面原本的语义，产生了新的语义。以下面这种情况为例：

<a href="$var">test</a>

将$var的值注入到页面中，本来是为了提供一个跳转用的url地址。但若将$var的值设为" onclick=alert(1)\，则以上HTML变为了：

<a href="" onclick=alert(1) \">test</a>

点击test文字后，会进行alert输出，即改变了原有的HTML语义。

---

HtmlEncode

当$var变量出现在HTML标签或属性中时，XSS可分别通过以下两种方法来进行注入。

1. 在HTML标签中，如下所示：

<p>$var</p>

若不对$var进行任何处理，当$var的值为<script>alert(1)</script>时，在一些老式的浏览器中，HTML代码如下：

<p><script>alert(1)</script></p>

则这些浏览器会执行alert的js操作，实现了XSS注入。

2. 在HTML属性中，如下所示：

<p name="$var">test</p>

若不对$var进行任何处理，当$var的值为"> <script>alert(1)</script>时，HTML代码如下：

<p name=""> <script>alert(1)</script>">test</p>

则浏览器会执行alert的js操作，实现了XSS注入。

为了防御这两种XSS，可以采用对$var变量进行HtmlEncode的方法。HtmlEncode的作用是将$var的一些字符进行转化，使得浏览器在最终输出结果上是一样的，但能够防止注入的JavaScript执行。

HtmlEncode支持的转换举例如下：

& --> &
< --> <
> --> >

以

<script>alert(1)</script>

为例，对$var进行HtmlEncode后的结果为：

<script>alert(1)</script>

以上HTML在浏览器中的显示结果就是<script>alert(1)</script>，实现了将$var作为纯文本进行了输出，且不引起JavaScript的执行。

---

JavaScriptEncode

当$var变量出现在<script>标签内或其它JavaScript的执行环境中时，XSS可通过以下方法来进行注入，示例如下：

<script>
    var x = "$var";
</script>

若不对$var进行任何处理，当$var的值为";alert(1);"时，JavaScript代码如下：

<script>
    var x = "";alert(1);""
</script>

则浏览器会执行alert的js操作，实现了XSS注入。

为了防御这种XSS，可以采用对$var变量进行JavaScriptEncode的方法。JavaScriptEncode的作用可以是将$var中除了数字、字母外的所有字符进行十六进制化处理，使得浏览器最终输出结果上是一样的，但能够防止注入的JavaScript执行。

以

";alert(1);"

为例，对$var进行JavaScriptEncode后的结果为：

\x22\x3balert\x281\x29\x3b\x22

其中\x28代表(，\x29代表)，以上字符串在JavaScript环境中即为"alert(1)"，内容不变，但XSS并不执行。

---

CSSEncode

当$var变量出现在<style>标签内或其它css的执行环境中时，XSS的注入和防御原理同JavaScript。在此不累述了。
css中xss的注入，在现在的浏览器中基本已经被禁止了，因此也比较少见。

---

URLEncode

当$var变量出现在url跳转地址中时，XSS可通过以下方法来进行注入，示例如下：

<a href="http://www.evil.com?test=$var">test</a>

若不对$var进行任何处理，当$var的值为" onclick="alert(1);return false;"时，代码如下：

<a href="http://www.evil.com?test=" onclick="alert(1);return false;">test</a>

此时就会阻止了url页面跳转，实现了XSS注入。

为了防御这种XSS，可以采用对$var变量进行URLEncode的方法。URLEncode的作用是将字符转化为%HH的形式，支持的转换举例如下：

空格 --> %20
< --> %3c
> --> %3e

以上述的

" onclick="alert(1);return false;"

为例，URLEncode后的结果如下：

%22%20onclick%3d%22alert%281%29%3breturn%20false%3b%22

原有代码变为：

<a href="http://www.evil.com?test=%22%20onclick%3d%22alert%281%29%3breturn%20false%3b%22">test</a>

此时便阻止了XSS的注入。

如果上述例子改为：

<a href="$var">test</a>

即$var指代了完整的url地址，则可能出现以下两种情况：

<a href="javascript:alert(1)">test</a>

<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">test2</a>

这两种代码都能够注入XSS，为了防御这些情况，可以先检测$var中是否包含url的protocol字段，如果没有，就加上，再对整个url进行URLEncode处理。

---

结语

以上是我的一些经验与心得，若有不足之处，请予指正。希望这篇文章对你有所帮助^_。