开发安全规约（二）——防止跨站脚本攻击

什么是跨站脚本攻击？

跨站脚本（英语：Cross-site scripting，通常简称为：XSS）是Web应用程序一种常见的攻击方式。它是指在服务器未严格验证输入输出时，网站容易被攻击者注入恶意代码，当其他用户访问这些携带恶意代码的网站时，就会遭受攻击。因此，XSS是一种间接攻击技术，不直接攻击Web服务器，而是以其为跳板攻击用户。

跨站脚本攻击的分类

按攻击类型分类：

• 反射型：攻击者构造含有恶意代码的链接，诱导用户点击，请求到达服务器后，若未对输入输出严格验证，恶意代码会被反射给用户运行，使用户遭受攻击。
  

  反射型XSS

• 存储型：攻击者构造含有恶意代码数据的请求提交给服务器，若在数据存储到数据库以及从库中读取显示给用户的过程中，未对输入输出严格验证，恶意代码数据将被存到数据库中，且所有访问到该恶意代码数据的用户均遭受攻击。
  

  存储型XSS

• DOM型：随着单页面应用的发展，越来越多Web应用依赖锚点（#userinfo/jack）来实现页面路由跳转。这也带来新的DOM型XSS，如：#userinfo/<script>alert(document.cookie)<script>，该攻击与反射型类似，但不经过服务器反射，直接在用户端执行。详见：https://www.oschina.net/translate/dom-based-xss-of-third-kind

按注入位置分类：

• 标签体内：<div class="username">join<ScRipt sRc="https://xxx/hacker.js"></scRiPt></div>

• 标签的属性： <img class="anchor" src=" x" onerror="alert(document.cookie); ">

• JavaScript数据域：<script>var res_data = " data";alert(document.cookie); // ";<script>

• URL参数：<a href=" product.jsp?id=123"></a><script src="hacker.js"></script><a href=" " ></a>

• CSS参数：*body { backgroud-image: url(" javascript: alert(document.cookie) "); }

跨站脚本攻击的利用及危害

• 身份盗用。Cookie是用户对于特定网站的身份验证标志，XSS攻击可以盗取用户的cookie，从而利用该cookie盗取用户对该网站的操作权限。如果一个网站管理员用户的cookie被窃取，将会对网站引发巨大的危害。

• 钓鱼欺骗。在页面中伪造一个登录或支付页面，欺骗用户输入账户密码信息，实现窃取用户敏感信息。

• 网站挂马。攻击者利用Iframe标签嵌入隐藏的恶意网站，将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式，进行挂马攻击。

• 蠕虫攻击。伪造请求，主动攻击更多用户、窃取敏感数据、发表非法评论、进行DDoS攻击，最终导致服务器瘫痪。

跨站脚本攻击的防护

服务端防范方法：

• 对用户的输入输出进行过滤。推荐使用OWASP开源项目 ESAPI 对用户的输入输出进行过滤（官网下载 、API文档）：

  • 针对标签内HTML：ESAPI.encoder().encodeForHTML( html )
  • 针对标签属性防护：ESAPI.encoder().encodeForHTMLAttribute( attr )
  • 针对JavaScript域：ESAPI.encoder().encoderForJavaScript( jscode )
  • 针对URL参数防护：ESAPI.encoder().encodeForURL( url )
  • 针对CSS参数防护：ESAPI.encoder().encoderForCSS( css )

• Cookie设置HttpOnly和有效期。当Cookie设置为HttpOnly时，Cookie无法通过脚本读取，即使不小心中了XSS攻击，也不会被盗用身份。设置有效期后，万一Cookie泄露，可避免会话被长期盗用。

• 限制用户输入数据长度和数据格式。恶意代码一般比正常数据长，限制字符长度，能有效防止危害较大的XSS攻击。当数据有固定格式时，拦截不符合格式的数据，能有效防止XSS攻击，还能提升应用健壮性。

• 对用户的输入输出进行转义。

  • 将特殊符号转为HTML编码，可用第三方库：https://www.owasp.org/index.php/OWASP_Java_Encoder_Project
  • 将特殊符号转为全角符号，可参考：https://yunjiechao-163-com.iteye.com/blog/1973803

客户端防范方法：

• 慎重点击网页链接。只点击可信任网站域内链接,不点击指向其它网站的链接。浏览邮件、论坛文章、留言板留言时提高安全意识,可有效防范跨站脚本攻击。

• 提高浏览器安全等级。及时升级浏览器，必要时在浏览器上禁用 JavaScript脚本的运行、限制操作 cookie的权限。此外，尽量采用主流Chrome、FireFox、Safari等浏览器，此类浏览器可检测部分跨站脚本攻击，更为安全。

• 开启终端安全防护。即使跨站脚本被浏览器解释执行,终端上安装的防病毒系统、防火墙等安全软件,可拦截和阻止网页挂马等后续攻击行为。