4类防御XSS的有效方法
XSS的本质
XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页面原本的语义,产生了新的语义。以下面这种情况为例:
1 | <a href="$var">test</a> |
将$var的值注入到页面中,本来是为了提供一个跳转用的url地址。但若将$var的值设为” onclick=alert(1)\,则以上HTML变为了:
1 | <a href="" onclick=alert(1) \">test</a> |
点击test文字后,会进行alert输出,即改变了原有的HTML语义。
HtmlEncode
当$var变量出现在HTML标签或属性中时,XSS可分别通过以下两种方法来进行注入。
在HTML标签中,如下所示:1
<p>$var</p>
若不对$var进行任何处理,当$var的值为<script>alert(1)</script>时,在一些老式的浏览器中,HTML代码如下:1
<p><script>alert(1)</script></p>
则这些浏览器会执行alert的js操作,实现了XSS注入。
在HTML属性中,如下所示:1
<p name="$var">test</p>
若不对$var进行任何处理,当$var的值为"> <script>alert(1)</script>时,HTML代码如下:1
<p name=""> <script>alert(1)</script>">test</p>
则浏览器会执行alert的js操作,实现了XSS注入。
为了防御这两种XSS,可以采用对$var变量进行HtmlEncode的方法。HtmlEncode的作用是将$var的一些字符进行转化,使得浏览器在最终输出结果上是一样的,但能够防止注入的JavaScript执行。
HtmlEncode支持的转换举例如下:1
2
3
4
5
6
7& --> &
< --> <
> --> >
```html
以
```html
<script>alert(1)</script>
为例,对$var进行HtmlEncode后的结果为:1
<script>alert(1)</script>
以上HTML在浏览器中的显示结果就是<script>alert(1)</script>,实现了将$var作为纯文本进行了输出,且不引起JavaScript的执行。
JavaScriptEncode
当$var变量出现在<script>标签内或其它JavaScript的执行环境中时,XSS可通过以下方法来进行注入,示例如下:1
2
3<script>
var x = "$var";
</script>
若不对$var进行任何处理,当$var的值为”;alert(1);”时,JavaScript代码如下:1
2
3<script>
var x = "";alert(1);""
</script>
则浏览器会执行alert的js操作,实现了XSS注入。
为了防御这种XSS,可以采用对$var变量进行JavaScriptEncode的方法。JavaScriptEncode的作用可以是将$var中除了数字、字母外的所有字符进行十六进制化处理,使得浏览器最终输出结果上是一样的,但能够防止注入的JavaScript执行。
以";alert(1);"
为例,对$var进行JavaScriptEncode后的结果为:\x22\x3balert\x281\x29\x3b\x22
其中\x28代表(,\x29代表),以上字符串在JavaScript环境中即为”alert(1)”,内容不变,但XSS并不执行。
CSSEncode
当$var变量出现在<style>标签内或其它css的执行环境中时,XSS的注入和防御原理同JavaScript。在此不累述了。
css中xss的注入,在现在的浏览器中基本已经被禁止了,因此也比较少见。
URLEncode
当$var变量出现在url跳转地址中时,XSS可通过以下方法来进行注入,示例如下:1
<a href="http://www.evil.com?test=$var">test</a>
若不对$var进行任何处理,当$var的值为" onclick="alert(1);return false;"时,代码如下:1
<a href="http://www.evil.com?test=" onclick="alert(1);return false;">test</a>
此时就会阻止了url页面跳转,实现了XSS注入。
为了防御这种XSS,可以采用对$var变量进行URLEncode的方法。URLEncode的作用是将字符转化为%HH的形式,支持的转换举例如下:
1 | 空格 --> %20 |
以上述的
" onclick="alert(1);return false;"
为例,URLEncode后的结果如下:
%22%20onclick%3d%22alert%281%29%3breturn%20false%3b%22
原有代码变为:1
<a href="http://www.evil.com?test=%22%20onclick%3d%22alert%281%29%3breturn%20false%3b%22">test</a>
此时便阻止了XSS的注入。
如果上述例子改为:1
<a href="$var">test</a>
即$var指代了完整的url地址,则可能出现以下两种情况:1
2<a href="javascript:alert(1)">test</a>
<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">test2</a>
这两种代码都能够注入XSS,为了防御这些情况,可以先检测$var中是否包含url的protocol字段,如果没有,就加上,再对整个url进行URLEncode处理。