XSS漏洞是什么?
网页(客户端)发送请求时隐藏可自动执行的脚本,从而使脚本跨站执行(cross site scripeting),达到攻击目的。由于缩写和CSS冲突,故使用XSS。
XSS攻击示例
服务器接口:
http://ip:port/test?name=aaa&hobby=bbb
服务器大致处理过程:
String param1 = request.getParameter("name");
String param2 = request.getParameter("hobby");
// do Sometihing
response.setContentType("text/html; charset=GBK");
if (ok){
out.println("ok");
}
else{
out.println(name+" failed");
}
若name字段传递为 ,则页面返回时会弹出alert对话框,若脚本里面包含页面跳转和发送本地cookie等操作,可能会造成更多危害。
XSS攻击原因
- 1, 服务器未对传入参数进行有效控制。
- 2, 返回的Content-type可以使自动脚本执行。
XSS攻击修复方案
参数防护
- 1,过滤非法参数(参数黑名单之内的)。
- 2,验证参数是否符合条件(是否白名单之内的)。
- 3,参数转换(将< 转换为 < 等)。
应答类型防护
此方法不通用,只针对仅数据交互的类型有效,若要服务器返回网页则失效。这种情况下可以将text/html修改为text/plain。
浏览器XSS防护策略
chrome和firefox浏览器,本身对XSS有过滤,当浏览器发现请求参数和服务器应答有相同的脚本时会拒绝执行。但是这通常是可以被绕过的,如对请求参数进编码。