概念
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击,是一种常见的网络安全漏洞。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的 cookie 信息、监听用户行为、修改 DOM、在页面内生成浮窗广告等。
攻击类型
- 储存型:恶意脚本会存储在目标服务器上,当浏览器请求数据时,脚本从服务器传回并执行;大致需要经过如下步骤:
- 首先黑客利用站点漏洞将一段恶意 JavaScript 代码提交到网站的数据库中;
- 然后用户向网站请求包含了恶意 JavaScript 脚本的页面;
- 当用户浏览该页面的时候,恶意脚本就会将用户的 Cookie 信息等数据上传到服务器;
- 真实案例:2013年,社交网站脸书遭受了一次存储型 XSS 攻击。攻击者通过在用户留言中注入恶意脚本,当其他用户访问该留言时,恶意脚本会在他们的浏览器中执行,从而导致用户的个人信息被盗取。
- 反射型:攻击者诱导用户访问一个带有恶意代码的 URL 后,服务器端接收数据后处理,然后把带有恶意代码的数据发送到浏览器端,浏览器端解析这段带有 XSS 代码的数据后当作脚本执行;
- 真实案例: 2016年,雅虎邮箱遭受了一次反射型 XSS 攻击。攻击者通过在恶意链接中注入恶意脚本,然后将该链接发送给受害者。当受害者点击链接时,恶意脚本会被服务器返回并在受害者的浏览器中执行,从而导致受害者的账户信息被窃取。
- DOM 型:指的是通过修改页面的 DOM 节点形成的 XSS;
- 真实案例:2014年,Twitter 遭受了一次 DOM-based XSS攻击。攻击者通过在推文中注入恶意脚本,当其他用户浏览该推文时,恶意脚本会修改 DOM 结构并执行,从而导致用户的账户被劫持或注入恶意广告。
如何防御 XSS 攻击
- 对输入脚本进行过滤或转码:对于用户输入的数据,进行验证和过滤,确保只允许有效的字符和格式。可以使用输入验证库或正则表达式来检查输入的内容是否合法。过滤掉或编码特殊字符,如 <, >, &, ", ’ 等,以防止恶意脚本的注入。
- 输出编码:在将用户输入的数据输出到网页上时,确保对数据进行适当的编码。使用适当的编码函数,如 HTML 编码或 URL 编码,将特殊字符转换为它们的实体或转义形式,以防止浏览器将其误认为是可执行的代码。
- 使用内容安全策略(Content Security Policy,CSP):CSP 是一种在网页上设置的安全策略,本质是建立一个白名单,用于限制浏览器加载和执行的内容来源。通过配置 CSP,您可以指定允许加载的资源来源,禁止执行内联脚本和未经授权的脚本操作,从而有效地减少 XSS 攻击的风险。
- 防止内联脚本:尽量避免在网页中使用内联脚本,即直接将 JavaScript 代码写在 HTML 标签的属性中,如
<script>
标签的 onload 或 onclick 属性。这样的内联脚本容易受到注入攻击,最好将 JavaScript 代码放在外部文件中,并通过引用来调用。 - 设置 HttpOnly 标志和安全标志:在设置用户身份验证和会话管理的 Cookie 时,将其标记为 HttpOnly 和 Secure。HttpOnly 标志可以防止 JavaScript 访问 Cookie,减少受到 XSS 攻击的可能性。Secure 标志则要求在通过 HTTPS 连接时才能传输 Cookie,增加了安全性。