XSS,即 Cross Site Script,中译是跨站剧本进攻;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安详规模叫做 XSS。
XSS 进攻是指进攻者在网站上注入恶意的客户端代码,通过恶意剧本对客户端网页举办改动,从而在用户欣赏网页时,对用户欣赏器举办节制可能获取用户隐私数据的一种进攻方法。
进攻者对客户端网页注入的恶意剧本一般包罗 JavaScript,有时也会包括 HTML 和 Flash。有许多种方法举办 XSS 进攻,但它们的配合点为:将一些隐私数据像 cookie、session 发送给进攻者,将受害者重定向到一个由进攻者节制的网站,在受害者的呆板长举办一些恶意操纵。
XSS进攻可以分为3类:反射型(非耐久型)、存储型(耐久型)、基于DOM。
1.1反射性
反射型 XSS 只是简朴地把用户输入的数据 “反射” 给欣赏器,这种进攻方法往往需要进攻者诱利用户点击一个恶意链接,可能提交一个表单,可能进入一个恶意网站时,注入剧本进入被进攻者的网站。
看一个示例。我先筹备一个如下的静态页:
恶意链接的地点指向了 localhost:8001/?q=111&p=222。然后,我再启一个简朴的 Node 处事处理惩罚恶意链接的请求:
const http = require('http'); function handleReequest(req, res) { res.setHeader('Access-Control-Allow-Origin', '*'); res.writeHead(200, {'Content-Type': 'text/html; charset=UTF-8'}); res.write('<script>alert("反射型 XSS 进攻")</script>'); res.end(); } const server = new http.Server(); server.listen(8001, '127.0.0.1'); server.on('request', handleReequest);
当用户点击恶意链接时,页面跳转到进攻者预先筹备的页面,会发此刻进攻者的页面执行了 js 剧本:
这样就发生了反射型 XSS 进攻。进攻者可以注入任意的恶意剧本举办进攻,大概注入开顽笑剧本,可能注入能获取用户隐私数据(如cookie)的剧本,这取决于进攻者的目标。
1.2存储型
存储型 XSS 会把用户输入的数据 “存储” 在处事器端,当欣赏器请求数据时,剧本从处事器上传回并执行。这种 XSS 进攻具有很强的不变性。
较量常见的一个场景是进攻者在社区或论坛上写下一篇包括恶意 JavaScript 代码的文章或评论,文章或评论颁发后,所有会见该文章或评论的用户,城市在他们的欣赏器中执行这段恶意的 JavaScript 代码。
举一个示例。
先筹备一个输入页面:
<input type="text"> <button>Submit</button> <script> const input = document.getElementById('input'); const btn = document.getElementById('btn'); let val; input.addEventListener('change', (e) => { val = e.target.value; },false); btn.addEventListener('click', (e) => { fetch('http://localhost:8001/save', { method: 'POST', body: val }); }, false); </script>
启动一个 Node 处事监听 save 请求。为了简化,用一个变量来生存用户的输入:
const http = require('http'); let userInput = ''; function handleReequest(req, res) { const method = req.method; res.setHeader('Access-Control-Allow-Origin', '*'); res.setHeader('Access-Control-Allow-Headers', 'Content-Type') if (method === 'POST' && req.url === '/save'){ let body = ''; req.on('data',chunk => { body += chunk; }); req.on('end', () => { if (body) { userInput = body; } res.end(); }); } else { res.writeHead(200, {'Content-Type': 'text/html; charset=UTF-8'}); res.write(userInput); //将输入的剧本内容返回给前端页面 res.end(); } } const server = new http.Server(); server.listen(8001, '127.0.0.1'); server.on('request', handleReequest);
当用户点击提交按钮将输入信息提交随处事端时,处事端通过 userInput 变量生存了输入内容。当用户通过 :8001/${id} 会见时,处事端会返回与 id 对应的内容(本示例简化了处理惩罚)。假如用户输入了恶意剧本内容,则其他用户会见该内容时,恶意剧本就会在欣赏器端执行:
1.3 基于DOM
基于 DOM 的 XSS 进攻是指通过恶意剧本修改页面的 DOM 布局,是纯粹产生在客户端的进攻。
看如下代码:
<h2>XSS: </h2> <input type="text"> <button>Submit</button> <div></div> <script> const input = document.getElementById('input'); const btn = document.getElementById('btn'); const div = document.getElementById('div'); let val; input.addEventListener('change', (e) => { val = e.target.value; }, false); btn.addEventListener('click', () => { div.innerHTML = `<a href=https://www.jb51.net/article/${val}>testLink</a>` }, false); </script>
点击 Submit 按钮后,会在当前页面插入一个链接,其地点为用户的输入内容。假如用户在输入时结构了如下内容:
'' onclick=alert(/xss/)
用户提交之后,页面代码就酿成了:
<a href onlick="alert(/xss/)">testLink</a>
此时,用户点击生成的链接,就会执行对应的剧本:
2.XSS进攻的防御
此刻主流的欣赏器内置了防御 XSS 的法子,譬喻 CSP。但对付开拓者来说,也应该寻找靠得住的办理方案来防备 XSS 进攻。
2.1 HttpOnly 防备劫取 Cookie
HttpOnly 最早由微软提出,至今已经成为一个尺度。欣赏器将克制页面的Javascript 会见带有 HttpOnly 属性的Cookie。