【XSS】对抗蠕虫 —— 如何让按钮不被 JS 自动点击

本文转载于:猿2048网站⇛【XSS】对抗蠕虫 —— 如何让按钮不被 JS 自动点击

前言

XSS 自动点按钮有什么危害？

在社交网络里，不少操做都是经过点击按钮发起的，例如发表留言。假如留言系统有 XSS，用户中招后除了基本攻击外，还能进行传播 —— XSS 自动填入留言内容，并模拟点击发表按钮，因而就能发布带有恶意代码的留言。好友看了中招后，又传播给他们的好友。。。从而造成蠕虫扩散。

那么有没有一种机制，让「发表留言」必须经过用户的「真实点击」按钮才能完成，而没法经过脚本自动实现？这样就能减缓蠕虫传播速度了。

实现

这个想法听起来好像不可行：若是发表留言须要带上用户行为信息，那么 XSS 彻底能够伪造一份行为数据，后端根本没法识别。

除非，用户在点击按钮时会产生一个「特殊数据」，让后端校验它。

可是，XSS 也能够直接调用按钮元素的 click 方法，这样效果和用户点击仍然同样。后端仍没法识别是「脚本点的」仍是「用户点的」。

这么看来，咱们只能保护好这个「按钮元素」，让它无法被 XSS 访问到。例如，把按钮放到一个 不一样源的 iframe 里，这样就和 XSS 所在的环境隔离了！

不过，这样还不够。假如 XSS 破解了这个「特殊数据」的生成规则，那么便可本身伪造一个，而后直接调用 HTTP 接口发表留言。因此，咱们得找一个不可伪造的硬标识。

事实上，有个很简单的办法：咱们干脆让 HTTP 请求也经过 iframe 发送。这样，后端经过 referer 便可检测请求是否为 iframe 发起的。毕竟，XSS 是没法伪造 referer 的！

演示

Demo: https://www.etherdream.com/FunnyScript/anti-xssworm/

注意：这个案例不是看能不能注入 XSS，而是看能不能经过当前页面的 JS 自动发留言！

另外，经过第三方服务器发表是不算的。这里为简单，省略了登陆态；真实场合下，会话 Cookie 是 HttpOnly 的，没法被 JS 获取到，也就没法让第三方服务器代替发表。

细节：

1. 使用者加载 safebutton.js，引入 SafeButton 类

2. 使用者实例化 SafeButton 对象 A，建立出一个不一样源的 iframe 做为按钮界面

3. 用户点击 iframe 按钮后，内部变量 S 置为 true，同时将点击消息告知主页面（postMessage）

4. 主页面收到消息后，让 A 产生 onclick 事件

5. 使用者将 HTTP 请求数据，经过 A 的 send 方法扔给 iframe

6. iframe 校验内部变量 S：若为 true，则将数据经过 AJAX 发送；不然放弃

7. 服务器校验 referer：若为 iframe 的地址，则继续业务逻辑；不然放弃

8. iframe 收到 AJAX 返回后，将结果扔给主页面

9. A 产生 onreceive 事件，其中包含 HTTP 返回结果

其中 No.6 的步骤最为关键。正是这一步，使得未经用户点击，XSS 强制扔给 iframe 的消息变得无效！

缺陷

固然，这个方案阻挡不了点击劫持 —— XSS 能够把 iframe 元素放大至整个页面，并设置全透明。

这样用户只要在页面的任何位置点一下，iframe 的 S 状态就变成 true 了，因而就能绕过 No.6。

结尾

固然，安全防护有胜于无。而且该方案的改形成本也不是很大，后端只是增长一个 referer 判断而已；前端也只需改造个别按钮，例如发帖按钮，像点赞这种按钮就不必保护了。