web安全xss攻击防范（安全测试xss攻击）

Web前端新手应该如何防御XSS攻击

今天小编要跟大家分享的文章是关于Web前端新手应该如何防御XSS攻击。作为 *** 系工程师接触最多的漏洞我想就是XSS漏洞了，然而并不是所有的同学对其都有一个清晰的认识。今天我们分享一下XSS漏洞攻击，希望能帮助到大家。下面我们来一起看一看吧！

一、什么是XSS攻击

XSS（Cross-SiteScripting）又称跨站脚本，XSS的重点不在于跨站点，而是在于脚本的执行。XSS是一种经常出现在Web应用程序中的计算机安全漏洞，是由于Web应用程序对用户的输入过滤不足而产生的。

常见的XSS攻击有三种：反射型、DOM-based型、存储型。其中反射型、DOM-based型可以归类为非持久型XSS攻击，存储型归类为持久型XSS攻击。

1、反射型

反射型XSS一般是攻击者通过特定手法（如电子邮件），诱使用户去访问一个包含恶意代码的URL，当受害者点击这些专门设计的链接的时候，恶意代码会直接在受害者主机上的浏览器执行。

对于访问者而言是一次性的，具体表现在我们把我们的恶意脚本通过URL的方式传递给了服务器，而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。反射型XSS的触发有后端的参与，要避免反射性XSS，必须需要后端的协调，后端解析前端的数据时首先做相关的字串检测和转义处理。

此类XSS通常出现在网站的搜索栏、用户登录口等地方，常用来窃取客户端Cookies或进行钓鱼欺骗。

整个攻击过程大约如下：

2、DOM-based型

客户端的脚本程序可以动态地检查和修改页面内容，而不依赖于服务器端的数据。例如客户端如从URL中提取数据并在本地执行，如果用户在客户端输入的数据包含了恶意的JavaScript脚本，而这些脚本没有经过适当的过滤和消毒，那么应用程序就可能受到DOM-basedXSS攻击。需要特别注意以下的用户输入源document.URL、location.hash、location.search、document.referrer等。

整个攻击过程大约如下：

3、存储型

攻击者事先将恶意代码上传或储存到漏洞服务器中，只要受害者浏览包含此恶意代码的页面就会执行恶意代码。这就意味着只要访问了这个页面的访客，都有可能会执行这段恶意脚本，因此储存型XSS的危害会更大。

存储型XSS一般出现在网站留言、评论、博客日志等交互处，恶意脚本存储到客户端或者服务端的数据库中。

整个攻击过程大约如下：

二、XSS攻击的危害

XSS可以导致：

1、攻击劫持访问；

2、盗用cookie实现无密码登录；

3、配合csrf攻击完成恶意请求；

4、使用js或css破坏页面正常的结构与样式等；

三、防御 ***

1、XSS防御之HTML编码

应用范围：将不可信数据放入到HTML标签内（例如div、span等）的时候进行HTML编码。

编码规则：将"'/转义为实体字符（或者十进制、十六进制）。

示例代码：

_unction_ncodeForHTML(str,_wargs){

__return(''+_tr)

___.replace(//g,'')

___.replace(/,'')__//_EC=_EX=_ntity=

___.replace(//g,'')

___.replace(/"/g,'"')

___.replace(/'/g,''')_//'_煌萍觯蛭辉_TML规范中

___.replace(/\//g,'/');

_};

HTML有三种编码表现方式：十进制、十六进制、命名实体。例如小于号（

2、XSS防御之HTMLAttribute编码

应用范围：将不可信数据放入HTML属性时（不含src、href、style和事件处理属性），进行HTMLAttribute编码

编码规则：除了字母数字字符以外，使用HH;(或者可用的命名实体)格式来转义ASCII值小于256所有的字符

示例代码：

_unction_ncodeForHTMLAttibute(str,_wargs){

__let_ncoded='';

__for(let_=0;____let_h=_ex=_tr[i];

___if(!/[A-Za-z0-9]/.test(str[i])_tr.charCodeAt(i)____hex=''+_h.charCodeAt(0).toString(16)+';';

___}

___encoded+=_ex;

__}

__return_ncoded;

_};

3、XSS防御之JavaScript编码

作用范围：将不可信数据放入事件处理属性、JavaScirpt值时进行JavaScript编码

编码规则：除字母数字字符外，请使用xHH格式转义ASCII码小于256的所有字符

示例代码：

_unction_ncodeForJavascript(str,_wargs)_

__let_ncoded='';

__for(let_=0;____let_c=_ex=_tr[i];

___if(!/[A-Za-z0-9]/.test(str[i])_tr.charCodeAt(i)____hex='\\x'+_c.charCodeAt().toString(16);

___}

___encoded+=_ex;

__}

__return_ncoded;

_};

4、XSS防御之URL编码

作用范围：将不可信数据作为URL参数值时需要对参数进行URL编码

编码规则：将参数值进行encodeURIComponent编码

示例代码：

_function_ncodeForURL(str,_wargs){

__return_ncodeURIComponent(str);

_};

5、XSS防御之CSS编码

作用范围：将不可信数据作为CSS时进行CSS编码

编码规则：除了字母数字字符以外，使用XXXXXX格式来转义ASCII值小于256的所有字符

示例代码：

_unction_ncodeForCSS(attr,_tr,_wargs){

__let_ncoded='';

__for(let_=0;____let_h=_tr.charAt(i);

___if(!ch.match(/[a-zA-Z0-9]/)_

____let_ex=_tr.charCodeAt(i).toString(16);

____let_ad='000000'.substr((hex.length));

____encoded+='\\'+_ad+_ex;

___}_lse_

____encoded+=_h;

___}

__}

__return_ncoded;

_};

后记

在任何时候用户的输入都是不可信的。对于HTTP参数，理论上都要进行验证，例如某个字段是枚举类型，其就不应该出现枚举以为的值；对于不可信数据的输出要进行相应的编码；此外httpOnly、CSP、X-XSS-Protection、SecureCookie等也可以起到有效的防护。

XSS漏洞有时比较难发现，所幸当下React、Vue等框架都从框架层面引入了XSS防御机制，一定程度上解放了我们的双手。

但是作为开发人员依然要了解XSS基本知识、于细节处避免制造XSS漏洞。框架是辅助，我们仍需以人为本，规范开发习惯，提高Web前端安全意识。

以上就是小编今天为大家分享的关于Web前端新手应该如何防御XSS攻击的文章，希望本篇文章能够对正在从事web前端工作的小伙伴们有所帮助。想要了解更多web前端相关知识记得关注北大青鸟web培训官网。最后祝愿小伙伴们工作顺利！

作者：公子

链接：#/a/1190000017057646

如何正确防御xss攻击

传统防御技术

2.1.1基于特征的防御

传统XSS防御多采用特征匹配方式，在所有提交的信息中都进行匹配检查。对于这种类型的XSS攻击，采用的模式匹配 *** 一般会需要对“javascript”这个关键字进行检索，一旦发现提交信息中包含“javascript”，就认定为XSS攻击。

2.1.2 基于代码修改的防御

和SQL注入防御一样，XSS攻击也是利用了Web页面的编写疏忽，所以还有一种 *** 就是从Web应用开发的角度来避免：

1、对所有用户提交内容进行可靠的输入验证，包括对URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其他的一律过滤。

2、实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

3、确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag(没有javascript)，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

当然，如上 *** 将会降低Web业务系统的可用性，用户仅能输入少量的制定字符，人与系统间的交互被降到极致，仅适用于信息发布型站点。

并且考虑到很少有Web编码人员受过正规的安全培训，很难做到完全避免页面中的XSS漏洞。

扩展资料：

XSS攻击的危害包括

1、盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力

3、盗窃企业重要的具有商业价值的资料

4、非法转账

5、强制发送电子邮件

6、网站挂马

7、控制受害者机器向其它网站发起攻击

受攻击事件

新浪微博XSS受攻击事件

2011年6月28日晚，新浪微博出现了一次比较大的XSS攻击事件。

大量用户自动发送诸如：

“郭美美事件的一些未注意到的细节”，“建党大业中穿帮地方”，“让女人心动的100句诗歌”，“这是传说中的神仙眷侣啊”等等微博和私信，并自动关注一位名为hellosamy的用户。

事件的经过线索如下：

20:14，开始有大量带V的认证用户中招转发蠕虫

20:30，某网站中的病毒页面无法访问

20:32，新浪微博中hellosamy用户无法访问

21:02，新浪漏洞修补完毕

百度贴吧xss攻击事件

2014年3月9晚，六安吧等几十个贴吧出现点击推广贴会自动转发等。并且吧友所关注的每个关注的贴吧都会转一遍，病毒循环发帖。并且导致吧务人员，和吧友被封禁。

参考资料：

XSS攻击-百度百科

xss漏洞如何防御?

1、基于特征的防御。XSS漏洞和著名的SQL注入漏洞一样，都是利用了Web页面的编写不完善，所以每一个漏洞所利用和针对的弱点都不尽相同，这就是给XSS漏洞防御带来的困难，不可能以单一特征来概括所有XSS攻击。

传统的XSS防御在进行攻击鉴别时多采用特征匹配方式，主要是针对JavaScript这个关键词进行检索，但是这种鉴别不够灵活，凡是提交的信息中各有JavaScript时，就被硬性的判定为XSS攻击。

2、基于代码修改的防御。Web页面开发者在编写程序时往往会出现一些失误或漏洞，XSS攻击正是利用了失误和漏洞，因此一种比较理想的 *** 就是通过优化Web应用开发来减少漏洞，避免被攻击：

①用户向服务器上提交的信息要对URL和附带的HTTP头、POST数据等进行查询，对不是规定格式、长度的内容进行过滤。

②实现Session标记、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

③确认接收的内容被妥善的规范化，仅包含最小的、安全的Tag，去掉任何对远程内容的引用，使用HTTP only的cookie。

3、客户端分层防御策略。客户端跨站脚本攻击的分层防御策略是基于独立分配线程和分层防御策略的安全模型。它建立在客户端，这是它与其他模型更大的区别。之所以客户端安全性如此重要，客户端在接受服务器信息，选择性的执行相关内容。这样就可以使防御XSS攻击变得容易，该模型主要由三大部分组成：

①对每一个网页分配独立线程且分析资源消耗的网页线程分析模块;

②包含分层防御策略四个规则的用户输入分析模块;

③保存互联网上有关XSS恶意网站信息的XSS信息数据库。