XSS攻击

XSS（cross-site scripting） 跨站脚本攻击，是一种代码注入攻击。攻击者通过在目标网站上注入恶意代码，使之在用户的浏览器上运行。根据攻击的来源，XSS攻击可分为存储型、反射型和DOM型三种，攻击来源可能包含来自用户的 UGC 信息、来自第三方的链接、URL 参数、POST 参数、Referer （可能来自不可信的来源）、Cookie （可能来自其他子域注入）

存储型XSS

• 攻击者将恶意代码提交到目标网站的数据库中
• 用户打开目标网站时，网站服务端将恶意代码从数据库取出，拼接在HTML重返回浏览器
• 用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行
• 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作

存储型XSS攻击常见于带有用户保存数据的网站功能，如论坛发帖、商品评论、用户私信等。

反射型XSS

• 攻击者构造出特殊的URL，其中包含恶意代码
• 用户打开带有恶意代码的URL时，网站服务端将恶意代码从URL中取出，拼接在HTML中返回给浏览器
• 用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行
• 恶意代码窃取用户数据并发送到攻击者网站，或者冒充用户行为，调用目标网站接口执行攻击者指定的操作

反射型XSS攻击常见于通过URL传递参数的功能，如网站搜索、跳转等，由需要用户主动打开恶意的URL才能生效，攻击者往往会结合多种手段诱导用户点击。POST的内容也可以触发反射型XSS，触发条件比较苛刻（需要构造表单提交页面，并引导用户点击）

存储型XSS于反射型XSS的区别是：存储型XSS的恶意代码存在数据库里，反射型XSS的恶意代码存在URL里

DOM型XSS

• 攻击者构造出特殊的URL，其中包含恶意代码
• 用户打开带有恶意代码的URL
• 用户浏览器接收到响应后解析执行，前端js取出URL中的恶意代码并执行
• 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。

DOM型XSS跟前两种XSS的区别，DOM型XSS攻击中，取出和执行恶意代码由浏览器端完成，属于前端js自身的安全漏洞，其他两种XSS属于服务端的安全漏洞

预防XSS

• 存储型和反射型XSS都是在服务端取出恶意代码后，插入到响应HTML里的，服务端返回数据时对HTML做充分转义
  为什么转义可以预防xss，xss的本质是让浏览器执行不被预期执行的脚本，html中出现<>时，浏览器会把他当成一个标签，或者标签不合法时，会引起解析错误，因此需要对特殊字符进行转义，浏览器在输入这些转义后的字符时，会进行一次解码，比如在浏览器输入 &lt 时，会被解码成 <，被解码后的字符串会被当做文本处理，不会被浏览器解析。

• 使用CSP作为预防XSS攻击的一种方式
  -- 禁止加载外域代码，防止复杂的攻击逻辑
  -- 禁止外域提交，网站被攻击后，用户的数据不会泄露到外域
  -- 禁止内联脚本执行
  -- 禁止未授权的脚本执行
• http-only cookie 禁止js读取某些敏感cookie，攻击者完成xss注入后也无法窃取此cookie
• 验证码：防止脚本冒充用户提交危险操作
• 针对 dom型xss，使用.innerHTML、.outerHTML、document.write() 时避免将不可信数据作为html插入页面中，尽量使用 .textContent、.setAttribute() ，DOM 中的内联事件监听器，如 location、onclick、onerror、onload、onmouseover 等，<a> 标签的 href 属性，JavaScript 的 eval()、setTimeout()、setInterval() 等，都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些 API，很容易产生安全隐患。

如何防止XSS攻击

CSRF 攻击

跨站请求伪造（Cross-Site Request Forgery），攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击者发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击网站执行某项操作的目的。

攻击流程：

• 受害者登录a.com，并保留登录凭证 (cookie)
• 攻击者引诱受害者访问b.com
• b.com向a.com向a.com发起请求，浏览器会默认携带a.com的cookie
• a.com接收到请求后，对请求进行验证，确认是受害者的凭证，误以为是受害者自己发送的请求
• a.con以受害者的名义执行了请求操作
  攻击完成，攻击者在受害者不知情的情况下，冒充受害者，让a.com执行了自己定义的操作。

cookie是无法跨域的，为什么会有csrf攻击？
浏览器会依据加载的域名附带上对应域名的cookie，如果用户在a网站登录并生成了授权的cookie，然后访问b网站，b网站构造a网站的请求，如删除操作，用script标签或img或iframe加载着a网站的地址，浏览器会附带上a站此登陆用户的授权信息，构成csrf
相同的document.domain页面共享cookie，其他情况下在会受同源策略的限制，而script，image，iframe的src都不受同源策略的影响，可以借助这一特点实现跨域。即用户在a网站登录且生成了授权的cookies，然后访问b网站，b网站构造a站的请求，如删除操作，用script, img或者iframe加载着a站的地址，浏览器会附带上a站此登录用户的授权cookie信息，这样就构成csrf。

防御

提交时附加本域才能获得的信息

• 同源检测，禁止不受信任域名发起请求。HTTP协议中，请求中会携带两个Header用于标记来源域名：Orgin与Refefer，服务端可以通过解析这两个Hedaer中的域名，确定请求的来源域。在IE11及302重定向之后的请求无法获取orgin。对于Ajax请求，图片和script等资源请求，refefer为发起请求的页面地址，对于页面跳转，refefer为打开页面记录的前一个页面地址。

• samesite cookie 作为cookie属性之一，声明是否将cookie限制为第一方或者同一站点上下文。用于设置Cookies只会在第一方上下文中发送，不会与第三方网站发起的请求一起发送。

• 验证码，CSRF攻击过程中，用户在不知情的情况下构造了网络请求，添加验证码后，强制用户必须与应用交互。

• token验证，浏览器请求页面时由服务端随机生成token并随页面返回，发起其他请求时，header中带上token，服务端比对成功后再响应请求并生成新token返回。

如何防止CSRF攻击
XSS基础——浏览器自解码机制