XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击

               

XSS跨站脚本漏洞修复建议- 如何防御CSS CrossSiteScript 跨站脚本攻击

小心XSS跨站脚本漏洞

Web的安全问题越来越严重，漏洞总是在不停的出现，而我们以前一直在做的都是打补丁，就这样漏洞、补丁、补丁、漏洞的恶忄生循环着。其实很多的攻击都是可以预防的，只要我们做好前期的工作。

XSS跨站脚本漏洞修复建议

1、假定所有输入都是可疑的，必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口，也包括HTTP请求中的Cookie中的变量，HTTP请求头部中的变量等。

2、不要仅仅验证数据的类型，还要验证其格式、长度、范围和内容。

3、不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务喘进行。

4、对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行安全检查。

5、在网站发布之前建议测试所有已知的威胁。

XSS跨站脚本漏洞修复

根据最新的统计显示，跨站脚本、信息泄漏和SQL注入这三个安全漏洞是最容易受到攻击的，而跨站脚本攻击XSS又在其中占了一半以上的份额，所以这里我们要谈谈如何做好基本的对付XSS的防御工作，让我们的Web环境更加安全。

XSS又叫CSS(CrossSiteScript)，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

我们先来了解一下XSS主要的攻击手段：

1、依赖跨站漏洞，需要在被攻击网站的页面种入脚本的手法，包括cookie盗取，通过javascript获取被攻击网站种下的cookie，并发送给攻击者，从cookie中提取密码等隐私，利用cookie亻为造session，发起重放攻击。另外还有包括Ajex信息盗取，通过javascript发起ajex请求，从ajex结果中获取隐私，模拟用户完成多页表单。

2、不依赖跨站漏洞的手法，包括单向HTTP动作，通过img.src等方法发起跨站访问，冒充被攻击者执行特权操作。但是很难拿到服务器的返回值。还包括双向HTTP动作，如果服务器产生一段动态的script，那么可以用script.src的方法发起跨站访问并拿到服务器的返回值。

下面看看具体的防御措施：

1、防堵跨站漏洞，阻止攻击者利用在被攻击网站上发布跨站攻击语句

不可以信任用户提交的任何内容，首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”，”>”，”；”，”’”等字符做过滤；其次任何内容写到页面之前都必须加以encode，避免不小心把htmltag弄出来。这一个层面做好，至少可以堵住超过一半的XSS攻击。

2、cookie防盗

首先避免直接在cookie中泄露用户隐私，例如email、密码等等。其次通过使cookie和系统ip绑定来降低cookie泄露后的危险。这样攻击者得到的cookie没有实际价值，不可能拿来重放。

3、尽量采用POST而非GET提交表单

POST操作不可能绕开javascript的使用，这会给攻击者增加难度，减少可利用的跨站漏洞。

4、严格检查refer

检查httprefer是否来自预料中的url。这可以阻止第2类攻击手法发起的http请求，也能防止大