72 什么是 XSS 攻击，如何避免？

什么是 XSS 攻击，如何避免？

答：

概念：XSS是一种网站应用程序的安全漏洞攻击，是代码注入的一种,它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

目的：想办法获取目标攻击网站的cookie，因为有了cookie相当于有了seesion，有了这些信息就可以在任意能接进互联网的pc登陆该网站，并以其他人的生份登陆，做一些破坏。
 

XSS攻击有哪几种类型？

常见的 XSS 攻击有三种：反射型XSS攻击、DOM-based 型XXS攻击以及存储型XSS攻击。
 

1.反射型XSS攻击

反射型 XSS 一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。反射型XSS通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端 Cookies 或进行钓鱼欺骗。
 

2.存储型XSS攻击

也叫持久型XSS，主要将XSS代码提交存储在服务器端（数据库，内存，文件系统等），下次请求目标页面时不用再提交XSS代码。当目标用户访问该页面获取数据时，XSS代码会从服务器解析之后加载出来，返回到浏览器做正常的HTML和JS解析执行，XSS攻击就发生了。存储型 XSS 一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。
 

3.DOM-based 型XSS攻击

基于 DOM 的 XSS 攻击是指通过恶意脚本修改页面的 DOM 结构，是纯粹发生在客户端的攻击。DOM 型 XSS 攻击中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞。
 

如何防御XSS攻击？

1. 对输入内容的特定字符进行编码，例如表示 html标记的 < > 等符号。

2. 对重要的 cookie设置 httpOnly, 防止客户端通过document.cookie读取 cookie，此 HTTP头由服务端设置。

3. 将不可信的值输出 URL参数之前，进行 URLEncode操作，而对于从 URL参数中获取值一定要进行格式检测（比如你需要的时URL，就判读是否满足URL格式）。

4. 不要使用 Eval来解析并运行不确定的数据或代码，对于 JSON解析请使用 JSON.parse() 方法。

5. 后端接口也应该要做到关键字符过滤的问题。
    

原文链接：https://www.baidu.com/link?url=GP7J2ELP7bo97OySrs2kCxJs25486--ISWPWZDVFj9mQFEpMLtEqelG0dj07H_Ny&wd=&eqid=abf0c4470007e126000000065ed4ba8a （上文）
原文链接：https://www.baidu.com/link?url=N9vMG8Pdrh10NaRCN8EgjpJsz62Jy5GhYuhTmW8-L-g5PzCArip5m8-LR29oJr_bA9iL-9rh13pLMV-7wsDnJq&wd=&eqid=abf0c4470007e126000000065ed4ba8a （下文）
 

XSS攻击的危害包括

1. 盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2. 控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3. 盗窃企业重要的具有商业价值的资料

4. 非法转账

5. 强制发送电子邮件

6. 网站挂马

7. 控制受害者机器向其它网站发起攻击
    

如何防御XSS攻击？

1基于特征的防御

XSS漏洞和著名的SQL注入漏洞一样，都是利用了Web页面的编写不完善，所以每一个漏洞所利用和针对的弱点都不尽相同。这就给XSS漏洞防御带来了困难：不可能以单一特征来概括所有XSS攻击。

传统XSS防御多采用特征匹配方式，在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击，采用的模式匹配方法一般会需要对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。

• 缺点是黑客可以通过插入字符或完全编码的方式躲避检测：

  躲避方法1)在javascript中加入多个tab键，得到

  < IMG SRC="jav ascript:alert('XSS');" >;

  躲避方法2) 在javascript中加入(空格)字符，得到

  < IMG SRC="javascri pt:alert('XSS');" >;

  躲避方法3) 在javascript中加入(回车)字符，得到

  < IMG SRC="jav

  ascript:alert('XSS');" >;

  躲避方法4)在javascript中的每个字符间加入回车换行符，得到

  < IMG SRC="javascrip

  t:alert('XSS');" >

  躲避方法5)对"javascript:alert('XSS')"采用完全编码，得到

  < IMGSRC=javascrip?74:alert('XSS') >

  上述方法都可以很容易的躲避基于特征的检测。而除了会有大量的漏报外，基于特征的

  还存在大量的误报可能：在上面的例子中，对上述某网站这样一个地址，由于包含了关键字“javascript”，也将会触发报警。
   

2 基于代码修改的防御

• 和SQL注入防御一样，XSS攻击也是利用了Web页面的编写疏忽，所以还有一种方法就是从Web应用开发的角度来避免：

  步骤1、对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

  步骤2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

  步骤3、确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

当然，如上操作将会降低Web业务系统的可用性，用户仅能输入少量的制定字符，人与系统间的交互被降到极致，仅适用于信息发布型站点。并且考虑到很少有Web编码人员受过正规的安全培训，很难做到完全避免页面中的XSS漏洞。