Web 安全漏洞之 XSS 攻击

编者说：做为JS系工程师接触最多的漏洞我想就是 XSS 漏洞了，然鹅并非全部的同窗对其都有一个清晰的认识。今天咱们请来了@卢士杰 同窗为咱们分享他眼中的 XSS 漏洞攻击，但愿能帮助到你们。

---

什么是 XSS 攻击

XSS（Cross-Site Scripting）又称跨站脚本，XSS的重点不在于跨站点，而是在于脚本的执行。XSS是一种常常出如今 Web 应用程序中的计算机安全漏洞，是因为 Web 应用程序对用户的输入过滤不足而产生的。

常见的 XSS 攻击有三种：反射型、DOM-based 型、存储型。 其中反射型、DOM-based 型能够归类为非持久型 XSS 攻击，存储型归类为持久型 XSS 攻击。

1.反射型

反射型 XSS 通常是攻击者经过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的 URL，当受害者点击这些专门设计的连接的时候，恶意代码会直接在受害者主机上的浏览器执行。

对于访问者而言是一次性的，具体表如今咱们把咱们的恶意脚本经过 URL 的方式传递给了服务器，而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。反射型 XSS 的触发有后端的参与，要避免反射性 XSS，必须须要后端的协调，后端解析前端的数据时首先作相关的字串检测和转义处理。

此类 XSS 一般出如今网站的搜索栏、用户登陆口等地方，经常使用来窃取客户端 Cookies 或进行钓鱼欺骗。

整个攻击过程大约以下：

2.DOM-based 型

客户端的脚本程序能够动态地检查和修改页面内容，而不依赖于服务器端的数据。例如客户端如从 URL 中提取数据并在本地执行，若是用户在客户端输入的数据包含了恶意的 JavaScript 脚本，而这些脚本没有通过适当的过滤和消毒，那么应用程序就可能受到 DOM-based XSS 攻击。须要特别注意如下的用户输入源 document.URL、location.hash、location.search、document.referrer 等。

整个攻击过程大约以下：

3.存储型

攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客，都有可能会执行这段恶意脚本，所以储存型XSS的危害会更大。

存储型 XSS 通常出如今网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

整个攻击过程大约以下：

XSS 攻击的危害

XSS 能够致使：

1. 攻击劫持访问；
2. 盗用 cookie 实现无密码登陆；
3. 配合 csrf 攻击完成恶意请求；
4. 使用 js 或 css 破坏页面正常的结构与样式等；

防护方法

1. XSS 防护之 HTML 编码

应用范围：将不可信数据放入到 HTML 标签内（例如div、span等）的时候进行HTML编码。

编码规则：将 & < > " ' / 转义为实体字符（或者十进制、十六进制）。

示例代码：

function encodeForHTML(str, kwargs){
    return ('' + str)
      .replace(/&/g, '&')
      .replace(/</g, '&lt;')     // DEC=> &#60; HEX=> &#x3c; Entity=> &lt;
      .replace(/>/g, '&gt;')
      .replace(/"/g, '&quot;')
      .replace(/'/g, '&#x27;')   // &apos; 不推荐，由于它不在HTML规范中
      .replace(/\//g, '&#x2F;');
  };
复制代码

HTML 有三种编码表现方式：十进制、十六进制、命名实体。例如小于号（<）能够编码为 "十进制> <", "十六进制=> <", "命名实体=> <" 三种方式。对于单引号（'）因为实体字符编码方式不在 HTML 规范中，因此此处使用了十六进制编码。

2. XSS 防护之 HTML Attribute 编码

应用范围：将不可信数据放入 HTML 属性时（不含src、href、style 和事件处理属性），进行 HTML Attribute 编码

编码规则：除了字母数字字符之外，使用 &#xHH;(或者可用的命名实体)格式来转义ASCII值小于256全部的字符​​​​​​​

示例代码：

function encodeForHTMLAttibute(str, kwargs){
    let encoded = '';
    for(let i = 0; i < str.length; i++) {
      let ch = hex = str[i];
      if (!/[A-Za-z0-9]/.test(str[i]) && str.charCodeAt(i) < 256) {
        hex = '&#x' + ch.charCodeAt(0).toString(16) + ';';
      }
      encoded += hex;
    }
    return encoded;
  };
复制代码

3. XSS 防护之 JavaScript 编码

做用范围：将不可信数据放入事件处理属性、JavaScirpt值时进行 JavaScript 编码

编码规则：除字母数字字符外，请使用\xHH格式转义ASCII码小于256的全部字符

示例代码：

function encodeForJavascript(str, kwargs) {
    let encoded = '';
    for(let i = 0; i < str.length; i++) {
      let cc = hex = str[i];
      if (!/[A-Za-z0-9]/.test(str[i]) && str.charCodeAt(i) < 256) {
        hex = '\\x' + cc.charCodeAt().toString(16);
      }
      encoded += hex;
    }
    return encoded;
  };
复制代码

4. XSS 防护之 URL 编码

做用范围：将不可信数据做为 URL 参数值时须要对参数进行 URL 编码

编码规则：将参数值进行 encodeURIComponent 编码

示例代码：

function encodeForURL(str, kwargs){
    return encodeURIComponent(str);
  };
复制代码

5. XSS 防护之 CSS 编码

做用范围：将不可信数据做为 CSS 时进行 CSS 编码

编码规则：除了字母数字字符之外，使用\XXXXXX格式来转义ASCII值小于256的全部字符

示例代码：

function encodeForCSS (attr, str, kwargs){
    let encoded = '';
    for (let i = 0; i < str.length; i++) {
      let ch = str.charAt(i);
      if (!ch.match(/[a-zA-Z0-9]/) {
        let hex = str.charCodeAt(i).toString(16);
        let pad = '000000'.substr((hex.length));
        encoded += '\\' + pad + hex;
      } else {
        encoded += ch;
      }
    }
    return encoded;
  };
复制代码

后记

在任什么时候候用户的输入都是不可信的。对于 HTTP 参数，理论上都要进行验证，例如某个字段是枚举类型，其就不该该出现枚举觉得的值；对于不可信数据的输出要进行相应的编码；此外httpOnly、CSP、X-XSS-Protection、Secure Cookie 等也能够起到有效的防御。

XSS 漏洞有时比较难发现，所幸当下React、Vue等框架都从框架层面引入了 XSS 防护机制，必定程度上解放了咱们的双手。 可是做为开发人员依然要了解 XSS 基本知识、于细节处避免制造 XSS 漏洞。框架是辅助，咱们仍需以人为本，规范开发习惯，提升 Web 前端安全意识。

参考文档

• www.qa-knowhow.com/?p=1467
• brajeshwar.github.io/entities/
• excess-xss.com/
• github.com/chrisisbeef…