欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

4类防御XSS的有效方法

来源:本站整理 作者:MapleMeowMeow 时间:2016-09-23 TAG: 我要投稿

 最近在看《白帽子讲Web安全》这本书,对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。


XSS的本质

XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页面原本的语义,产生了新的语义。以下面这种情况为例:

<a href="$var">test</a>

将$var的值注入到页面中,本来是为了提供一个跳转用的url地址。但若将$var的值设为" onclick=alert(1)\,则以上HTML变为了:

<a href="" onclick=alert(1) \">test</a>

点击test文字后,会进行alert输出,即改变了原有的HTML语义。


HtmlEncode

当$var变量出现在HTML标签或属性中时,XSS可分别通过以下两种方法来进行注入。

  1. 在HTML标签中,如下所示:

    <p>$var</p>

    若不对$var进行任何处理,当$var的值为<script>alert(1)</script>时,在一些老式的浏览器中,HTML代码如下:

    <p><script>alert(1)</script></p>

    则这些浏览器会执行alert的js操作,实现了XSS注入。

  2. 在HTML属性中,如下所示:

    <p name="$var">test</p>

    若不对$var进行任何处理,当$var的值为"> <script>alert(1)</script>时,HTML代码如下:

    <p name=""> <script>alert(1)</script>">test</p>

    则浏览器会执行alert的js操作,实现了XSS注入。

为了防御这两种XSS,可以采用对$var变量进行HtmlEncode的方法。HtmlEncode的作用是将$var的一些字符进行转化,使得浏览器在最终输出结果上是一样的,但能够防止注入的JavaScript执行。

HtmlEncode支持的转换举例如下:

& --> &
< --> <
> --> >

<script>alert(1)</script>

为例,对$var进行HtmlEncode后的结果为:

<script>alert(1)</script>

以上HTML在浏览器中的显示结果就是<script>alert(1)</script>,实现了将$var作为纯文本进行了输出,且不引起JavaScript的执行。


JavaScriptEncode

当$var变量出现在<script>标签内或其它JavaScript的执行环境中时,XSS可通过以下方法来进行注入,示例如下:

<script>
    var x = "$var";
</script>

若不对$var进行任何处理,当$var的值为";alert(1);"时,JavaScript代码如下:

<script>
    var x = "";alert(1);""
</script>

则浏览器会执行alert的js操作,实现了XSS注入。

为了防御这种XSS,可以采用对$var变量进行JavaScriptEncode的方法。JavaScriptEncode的作用可以是将$var中除了数字、字母外的所有字符进行十六进制化处理,使得浏览器最终输出结果上是一样的,但能够防止注入的JavaScript执行。

alert(1)

为例,对$var进行JavaScriptEncode后的结果为:

alert\x281\x29

其中\x28代表(,\x29代表),以上字符串在JavaScript环境中即为"alert(1)",内容不变,但XSS并不执行。


CSSEncode

当$var变量出现在<style>标签内或其它css的执行环境中时,XSS的注入和防御原理同JavaScript。在此不累述了。
css中xss的注入,在现在的浏览器中基本已经被禁止了,因此也比较少见。


URLEncode

当$var变量出现在url跳转地址中时,XSS可通过以下方法来进行注入,示例如下:

<a href="http://www.evil.com?test=$var">test</a>

若不对$var进行任何处理,当$var的值为" onclick="alert(1);return false;"时,代码如下:

<a href="http://www.evil.com?test=" onclick="alert(1);return false;">test</a>

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载