">  
  
  
  
搜索  
  
  
  
  
  
  
  
  您搜索的關(guān)鍵詞是：<%= getParameter("keyword") %>  
  
  
  

 
 
 
  
  
  
">  
  
  
  
搜索  
  
  
  
  
  
  
  
  您搜索的關(guān)鍵詞是：">  
  
  
  

 
 
 
  
  
  
">  
  
  
  
搜索  
  
  
  
  
  
  
  
  您搜索的關(guān)鍵詞是：<%= escapeHTML(getParameter("keyword")) %>  
  
  
  

 
 
 
  
  
  
  
  
  
  
搜索  
  
  
  
  
  
  
  
  您搜索的關(guān)鍵詞是："><script>alert('XSS');</script>  
  
  
  

惡意代碼都被轉(zhuǎn)義，不再被瀏覽器執(zhí)行，而且搜索詞能夠完美的在頁面顯示出來。

通過這個(gè)事件，小明學(xué)習(xí)到了如下知識：

•  通常頁面中包含的用戶輸入內(nèi)容都在固定的容器或者屬性內(nèi)，以文本的形式展示。
•  攻擊者利用這些頁面的用戶輸入片段，拼接特殊格式的字符串，突破原有位置的限制，形成了代碼片段。
•  攻擊者通過在目標(biāo)網(wǎng)站上注入腳本，使之在用戶的瀏覽器上運(yùn)行，從而引發(fā)潛在風(fēng)險(xiǎn)。

•  通過 HTML 轉(zhuǎn)義，可以防止 XSS 攻擊。[事情當(dāng)然沒有這么簡單啦！請繼續(xù)往下看]。

注意特殊的 HTML 屬性、JavaScript API

自從上次事件之后，小明會(huì)小心的把插入到頁面中的數(shù)據(jù)進(jìn)行轉(zhuǎn)義。而且他還發(fā)現(xiàn)了大部分模板都帶有的轉(zhuǎn)義配置，讓所有插入到頁面中的數(shù)據(jù)都默認(rèn)進(jìn)行轉(zhuǎn)義。這樣就不怕不小心漏掉未轉(zhuǎn)義的變量啦，于是小明的工作又漸漸變得輕松起來。

但是，作為導(dǎo)演的我，不可能讓小明這么簡單、開心地改 Bug 。

不久，小明又收到安全組的神秘鏈接：http://xxx/?redirect_to=javascript:alert('XSS')。小明不敢大意，趕忙點(diǎn)開頁面。然而，頁面并沒有自動(dòng)彈出萬惡的“XSS”。

小明打開對應(yīng)頁面的源碼，發(fā)現(xiàn)有以下內(nèi)容：

 
 
 
  
  
  
">跳轉(zhuǎn)... 
 
 

這段代碼，當(dāng)攻擊 URL 為 http://xxx/?redirect_to=javascript:alert('XSS')，服務(wù)端響應(yīng)就成了：

 
 
 
  
  
  
跳轉(zhuǎn)... 
 
 

雖然代碼不會(huì)立即執(zhí)行，但一旦用戶點(diǎn)擊 a 標(biāo)簽時(shí)，瀏覽器會(huì)就會(huì)彈出“XSS”。

可惡，又失策了...

在這里，用戶的數(shù)據(jù)并沒有在位置上突破我們的限制，仍然是正確的 href 屬性。但其內(nèi)容并不是我們所預(yù)期的類型。

原來不僅僅是特殊字符，連 javascript: 這樣的字符串如果出現(xiàn)在特定的位置也會(huì)引發(fā) XSS 攻擊。

小明眉頭一皺，想到了解決辦法：

 
 
 
  
  
  
// 禁止 URL 以 "javascript:" 開頭  
  
  
  
xss = getParameter("redirect_to").startsWith('javascript:');  
  
  
  
if (!xss) {  
  
  
  
  ">  
  
  
  
    跳轉(zhuǎn)...  
  
  
  
    
  
  
  
} else {  
  
  
  
    
  
  
  
    跳轉(zhuǎn)...  
  
  
  
    
  
  
  
} 
 
 

只要 URL 的開頭不是 javascript:，就安全了吧？

安全組隨手又扔了一個(gè)連接：http://xxx/?redirect_to=jAvascRipt:alert('XSS')

這也能執(zhí)行？.....好吧，瀏覽器就是這么強(qiáng)大。

小明欲哭無淚，在判斷 URL 開頭是否為 javascript: 時(shí)，先把用戶輸入轉(zhuǎn)成了小寫，然后再進(jìn)行比對。

不過，所謂“道高一尺，魔高一丈”。面對小明的防護(hù)策略，安全組就構(gòu)造了這樣一個(gè)連接：

http://xxx/?redirect_to=%20javascript:alert('XSS')

%20javascript:alert('XSS') 經(jīng)過 URL 解析后變成 javascript:alert('XSS')，這個(gè)字符串以空格開頭。這樣攻擊者可以繞過后端的關(guān)鍵詞規(guī)則，又成功的完成了注入。

最終，小明選擇了白名單的方法，徹底解決了這個(gè)漏洞：

 
 
 
  
  
  
// 根據(jù)項(xiàng)目情況進(jìn)行過濾，禁止掉 "javascript:" 鏈接、非法 scheme 等  
  
  
  
allowSchemes = ["http", "https"];  
  
  
  
valid = isValid(getParameter("redirect_to"), allowSchemes);  
  
  
  
if (valid) {  
  
  
  
  ">  
  
  
  
    跳轉(zhuǎn)...  
  
  
  
    
  
  
  
} else {  
  
  
  
    
  
  
  
    跳轉(zhuǎn)...  
  
  
  
    
  
  
  
} 
 
 

通過這個(gè)事件，小明學(xué)習(xí)到了如下知識：

•  做了 HTML 轉(zhuǎn)義，并不等于高枕無憂。
•  對于鏈接跳轉(zhuǎn)，如

根據(jù)上下文采用不同的轉(zhuǎn)義規(guī)則

某天，小明為了加快網(wǎng)頁的加載速度，把一個(gè)數(shù)據(jù)通過 JSON 的方式內(nèi)聯(lián)到 HTML 中：

插入 JSON 的地方不能使用 escapeHTML()，因?yàn)檗D(zhuǎn)義 " 后，JSON 格式會(huì)被破壞。

但安全組又發(fā)現(xiàn)有漏洞，原來這樣內(nèi)聯(lián) JSON 也是不安全的：

•  當(dāng) JSON 中包含 U+2028 或 U+2029 這兩個(gè)字符時(shí)，不能作為 JavaScript 的字面量使用，否則會(huì)拋出語法錯(cuò)誤。
•  當(dāng) JSON 中包含字符串 時(shí)，當(dāng)前的 script 標(biāo)簽將會(huì)被閉合，后面的字符串內(nèi)容瀏覽器會(huì)按照 HTML 進(jìn)行解析；通過增加下一個(gè)   
•   
•   
•   
•   onclick="alert('<%= Encode.forJavaScript(UNTRUSTED) %>');">  
•   click me  
•   
•   
• &order=1#top">  
•   
• ">  
•   
•   urlValidator.isValid(UNTRUSTED) ?  
•     Encode.forHtml(UNTRUSTED) :  
•     "/404"  
• %>'>  
•   link  
•  

可見，HTML 的編碼是十分復(fù)雜的，在不同的上下文里要使用相應(yīng)的轉(zhuǎn)義規(guī)則。

預(yù)防 DOM 型 XSS 攻擊

DOM 型 XSS 攻擊，實(shí)際上就是網(wǎng)站前端 JavaScript 代碼本身不夠嚴(yán)謹(jǐn)，把不可信的數(shù)據(jù)當(dāng)作代碼執(zhí)行了。

在使用 .innerHTML、.outerHTML、document.write() 時(shí)要特別小心，不要把不可信的數(shù)據(jù)作為 HTML 插到頁面上，而應(yīng)盡量使用 .textContent、.setAttribute() 等。

如果用 Vue/React 技術(shù)棧，并且不使用 v-html/dangerouslySetInnerHTML 功能，就在前端 render 階段避免 innerHTML、outerHTML 的 XSS 隱患。

DOM 中的內(nèi)聯(lián)事件監(jiān)聽器，如 location、onclick、onerror、onload、onmouseover 等， 標(biāo)簽的 href 屬性，JavaScript 的 eval()、setTimeout()、setInterval() 等，都能把字符串作為代碼運(yùn)行。如果不可信的數(shù)據(jù)拼接到字符串中傳遞給這些 API，很容易產(chǎn)生安全隱患，請務(wù)必避免。

 
 
 
  
  
  
  
  
  
  
  
  
  
  
  
  
  
  
1  
  
  
  
 
 
 

如果項(xiàng)目中有用到這些的話，一定要避免在字符串中拼接不可信數(shù)據(jù)。

其他 XSS 防范措施

雖然在渲染頁面和執(zhí)行 JavaScript 時(shí)，通過謹(jǐn)慎的轉(zhuǎn)義可以防止 XSS 的發(fā)生，但完全依靠開發(fā)的謹(jǐn)慎仍然是不夠的。以下介紹一些通用的方案，可以降低 XSS 帶來的風(fēng)險(xiǎn)和后果。

Content Security Policy

嚴(yán)格的 CSP 在 XSS 的防范中可以起到以下的作用：

•  禁止加載外域代碼，防止復(fù)雜的攻擊邏輯。
•  禁止外域提交，網(wǎng)站被攻擊后，用戶的數(shù)據(jù)不會(huì)泄露到外域。
•  禁止內(nèi)聯(lián)腳本執(zhí)行（規(guī)則較嚴(yán)格，目前發(fā)現(xiàn) GitHub 使用）。
•  禁止未授權(quán)的腳本執(zhí)行（新特性，Google Map 移動(dòng)版在使用）。
•  合理使用上報(bào)可以及時(shí)發(fā)現(xiàn) XSS，利于盡快修復(fù)問題。

關(guān)于 CSP 的詳情，請關(guān)注前端安全系列后續(xù)的文章。

輸入內(nèi)容長度控制

對于不受信任的輸入，都應(yīng)該限定一個(gè)合理的長度。雖然無法完全防止 XSS 發(fā)生，但可以增加 XSS 攻擊的難度。

其他安全措施

•  HTTP-only Cookie: 禁止 JavaScript 讀取某些敏感 Cookie，攻擊者完成 XSS 注入后也無法竊取此 Cookie。
•  驗(yàn)證碼：防止腳本冒充用戶提交危險(xiǎn)操作。

XSS 的檢測

上述經(jīng)歷讓小明收獲頗豐，他也學(xué)會(huì)了如何去預(yù)防和修復(fù) XSS 漏洞，在日常開發(fā)中也具備了相關(guān)的安全意識。但對于已經(jīng)上線的代碼，如何去檢測其中有沒有 XSS 漏洞呢？

經(jīng)過一番搜索，小明找到了兩個(gè)方法：

1.  使用通用 XSS 攻擊字符串手動(dòng)檢測 XSS 漏洞。
2.  使用掃描工具自動(dòng)檢測 XSS 漏洞。

在Unleashing an Ultimate XSS Polyglot一文中，小明發(fā)現(xiàn)了這么一個(gè)字符串：

 
 
 
  
  
  
jaVasCript:/*-/*`/*\`/*'/*"/**/(/* */oNcliCk=alert() )//%0D%0A%0d%0a//\x3csVg/
 
 

它能夠檢測到存在于 HTML 屬性、HTML 文字內(nèi)容、HTML 注釋、跳轉(zhuǎn)鏈接、內(nèi)聯(lián) JavaScript 字符串、內(nèi)聯(lián) CSS 樣式表等多種上下文中的 XSS 漏洞，也能檢測 eval()、setTimeout()、setInterval()、Function()、innerHTML、document.write() 等 DOM 型 XSS 漏洞，并且能繞過一些 XSS 過濾器。

小明只要在網(wǎng)站的各輸入框中提交這個(gè)字符串，或者把它拼接到 URL 參數(shù)上，就可以進(jìn)行檢測了。

 
 
 
  
  
  
http://xxx/search?keyword=jaVasCript%3A%2F*-%2F*%60%2F*%60%2F*%27%2F*%22%2F**%2F(%2F*%20*%2FoNcliCk%3Dalert()%20)%2F%2F%250D%250A%250d%250a%2F%2F%3C%2FstYle%2F%3C%2FtitLe%2F%3C%2FteXtarEa%2F%3C%2FscRipt%2F--!%3E%3CsVg%2F%3CsVg%2FoNloAd%3Dalert()%2F%2F%3E%3E 
 
 

 除了手動(dòng)檢測之外，還可以使用自動(dòng)掃描工具尋找 XSS 漏洞，例如 Arachni、Mozilla HTTP Observatory、w3af 等。

XSS 攻擊的總結(jié)

我們回到最開始提出的問題，相信同學(xué)們已經(jīng)有了答案：

1.XSS 防范是后端 RD 的責(zé)任，后端 RD 應(yīng)該在所有用戶提交數(shù)據(jù)的接口，對敏感字符進(jìn)行轉(zhuǎn)義，才能進(jìn)行下一步操作。

不正確。因?yàn)椋?/p>

• 防范存儲(chǔ)型和反射型 XSS 是后端 RD 的責(zé)任。而 DOM 型 XSS 攻擊不發(fā)生在后端，是前端 RD 的責(zé)任。防范 XSS 是需要后端 RD 和前端 RD 共同參與的系統(tǒng)工程。

• 轉(zhuǎn)義應(yīng)該在輸出 HTML 時(shí)進(jìn)行，而不是在提交用戶輸入時(shí)。

2. 所有要插入到頁面上的數(shù)據(jù)，都要通過一個(gè)敏感字符過濾函數(shù)的轉(zhuǎn)義，過濾掉通用的敏感字符后，就可以插入到頁面中。

不正確。

不同的上下文，如 HTML 屬性、HTML 文字內(nèi)容、HTML 注釋、跳轉(zhuǎn)鏈接、內(nèi)聯(lián) JavaScript 字符串、內(nèi)聯(lián) CSS 樣式表等，所需要的轉(zhuǎn)義規(guī)則不一致。

業(yè)務(wù) RD 需要選取合適的轉(zhuǎn)義庫，并針對不同的上下文調(diào)用不同的轉(zhuǎn)義規(guī)則。

整體的 XSS 防范是非常復(fù)雜和繁瑣的，我們不僅需要在全部需要轉(zhuǎn)義的位置，對數(shù)據(jù)進(jìn)行對應(yīng)的轉(zhuǎn)義。而且要防止多余和錯(cuò)誤的轉(zhuǎn)義，避免正常的用戶輸入出現(xiàn)亂碼。

雖然很難通過技術(shù)手段完全避免 XSS，但我們可以總結(jié)以下原則減少漏洞的產(chǎn)生：

•  利用模板引擎

    開啟模板引擎自帶的 HTML 轉(zhuǎn)義功能。例如：

    在 ejs 中，盡量使用 <%= data %> 而不是 <%- data %>；

    在 doT.js 中，盡量使用 {{! data } 而不是 {{= data }；

    在 FreeMarker 中，確保引擎版本高于 2.3.24，并且選擇正確的 freemarker.core.OutputFormat。

•  避免內(nèi)聯(lián)事件

    盡量不要使用 onLoad="onload('{{data}}')"、onClick="go('{{action}}')" 這種拼接內(nèi)聯(lián)事件的寫法。在 JavaScript 中通過 .addEventlistener() 事件綁定會(huì)更安全。

•  避免拼接 HTML

    前端采用拼接 HTML 的方法比較危險(xiǎn)，如果框架允許，使用 createElement、setAttribute 之類的方法實(shí)現(xiàn)?；蛘卟捎帽容^成熟的渲染框架，如 Vue/React 等。

•  時(shí)刻保持警惕

    在插入位置為 DOM 屬性、鏈接等位置時(shí)，要打起精神，嚴(yán)加防范。

•  增加攻擊難度，降低攻擊后果

    通過 CSP、輸入長度配置、接口安全措施等方法，增加攻擊的難度，降低攻擊的后果。

•  主動(dòng)檢測和發(fā)現(xiàn)

    可使用 XSS 攻擊字符串和自動(dòng)掃描工具尋找潛在的 XSS 漏洞。

XSS 攻擊案例

QQ 郵箱 m.exmail.qq.com 域名反射型 XSS 漏洞

攻擊者發(fā)現(xiàn) http://m.exmail.qq.com/cgi-bin/login?uin=aaaa&domain=bbbb 這個(gè) URL 的參數(shù) uin、domain 未經(jīng)轉(zhuǎn)義直接輸出到 HTML 中。

于是攻擊者構(gòu)建出一個(gè) URL，并引導(dǎo)用戶去點(diǎn)擊：

http://m.exmail.qq.com/cgi-bin/login?uin=aaaa&domain=bbbb%26quot%3B%3Breturn+false%3B%26quot%3B%26lt%3B%2Fscript%26gt%3B%26lt%3Bscript%26gt%3Balert(document.cookie)%26lt%3B%2Fscript%26gt%3B

用戶點(diǎn)擊這個(gè) URL 時(shí)，服務(wù)端取出 URL 參數(shù)，拼接到 HTML 響應(yīng)中：

 
 
 
  
  
  
"+"...  
 
 

瀏覽器接收到響應(yīng)后就會(huì)執(zhí)行 alert(document.cookie)，攻擊者通過 JavaScript 即可竊取當(dāng)前用戶在 QQ 郵箱域名下的 Cookie ，進(jìn)而危害數(shù)據(jù)安全。

新浪微博名人堂反射型 XSS 漏洞

攻擊者發(fā)現(xiàn) http://weibo.com/pub/star/g/xyyyd 這個(gè) URL 的內(nèi)容未經(jīng)過濾直接輸出到 HTML 中。

于是攻擊者構(gòu)建出一個(gè) URL，然后誘導(dǎo)用戶去點(diǎn)擊：

http://weibo.com/pub/star/g/xyyyd">

用戶點(diǎn)擊這個(gè) URL 時(shí)，服務(wù)端取出請求 URL，拼接到 HTML 響應(yīng)中：

 
 
 
  
  
  
">按分類檢索
  
 

瀏覽器接收到響應(yīng)后就會(huì)加載執(zhí)行惡意腳本 //xxxx.cn/image/t.js，在惡意腳本中利用用戶的登錄狀態(tài)進(jìn)行關(guān)注、發(fā)微博、發(fā)私信等操作，發(fā)出的微博和私信可再帶上攻擊 URL，誘導(dǎo)更多人點(diǎn)擊，不斷放大攻擊范圍。這種竊用受害者身份發(fā)布惡意內(nèi)容，層層放大攻擊范圍的方式，被稱為“XSS 蠕蟲”。

擴(kuò)展閱讀：Automatic Context-Aware Escaping

上文我們說到：

1.  合適的 HTML 轉(zhuǎn)義可以有效避免 XSS 漏洞。
2.  完善的轉(zhuǎn)義庫需要針對上下文制定多種規(guī)則，例如 HTML 屬性、HTML 文字內(nèi)容、HTML 注釋、跳轉(zhuǎn)鏈接、內(nèi)聯(lián) JavaScript 字符串、內(nèi)聯(lián) CSS 樣式表等等。
3.  業(yè)務(wù) RD 需要根據(jù)每個(gè)插入點(diǎn)所處的上下文，選取不同的轉(zhuǎn)義規(guī)則。

通常，轉(zhuǎn)義庫是不能判斷插入點(diǎn)上下文的（Not Context-Aware），實(shí)施轉(zhuǎn)義規(guī)則的責(zé)任就落到了業(yè)務(wù) RD 身上，需要每個(gè)業(yè)務(wù) RD 都充分理解 XSS 的各種情況，并且需要保證每一個(gè)插入點(diǎn)使用了正確的轉(zhuǎn)義規(guī)則。

這種機(jī)制工作量大，全靠人工保證，很容易造成 XSS 漏洞，安全人員也很難發(fā)現(xiàn)隱患。

2009年，Google 提出了一個(gè)概念叫做：Automatic Context-Aware Escaping。

所謂 Context-Aware，就是說模板引擎在解析模板字符串的時(shí)候，就解析模板語法，分析出每個(gè)插入點(diǎn)所處的上下文，據(jù)此自動(dòng)選用不同的轉(zhuǎn)義規(guī)則。這樣就減輕了業(yè)務(wù) RD 的工作負(fù)擔(dān)，也減少了人為帶來的疏漏。

在一個(gè)支持 Automatic Context-Aware Escaping 的模板引擎里，業(yè)務(wù) RD 可以這樣定義模板，而無需手動(dòng)實(shí)施轉(zhuǎn)義規(guī)則：

 
 
 
  
  
  
  
  
  
  
    
  
  
  
      
  
  
  
      
  
  
  
    
  
  
  
    
  
  
  
    {{.content}}  
  
  
  
    
  
  
  
 
 
 

模板引擎經(jīng)過解析后，得知三個(gè)插入點(diǎn)所處的上下文，自動(dòng)選用相應(yīng)的轉(zhuǎn)義規(guī)則：

 
 
 
  
  
  
  
  
  
  
    
  
  
  
      
  
  
  
      
  
  
  
    
  
  
  
    
  
  
  
    {{.content | htmlescaper}}  
  
  
  
    
  
  
  
 
 
 

目前已經(jīng)支持 Automatic Context-Aware Escaping 的模板引擎有：

•  go html/template
•  Google Closure Templates 

文章題目：前端安全保障之如何防止XSS攻擊？
當(dāng)前鏈接：http://uogjgqi.cn/article/cceoghh.html