防范XSS有三道防火墙:数据的输入校验,数据输出Encode,浏览器安全(主要就是CSP),这里主要介绍Encode。
#用于XSS防范的Encode
用户防范XSS的Encode主要有三种:HtmlEncode,javascriptEncode,urlEncode。每种encode都有不同的使用场景。
#HtmlEncode
HtmlEncode将一些字符编码为html实体,比如将 < 编码为 < 这样编码会起到什么效果呢?
假设页面代码如下:
<div>${var}</div>
如果var的值被注入了恶意代码 <script>alert(1)</script>,我们知道页面返回的时候会直接弹出一个alert框,而如果对var的值进行htmlEncode后页面代码就变成了:
<div> <script>alert(1)</script> </div>
浏览器选后不会弹出alert框,而是将<script>alert(1)</script>显示为纯字符。
数据在标签或属性中输出时使用。
#javascriptEncode
使用“\”对特殊字符进行转义,除数字,字母之外,小于127的字符编码使用16进制“\xHH”的方式进行编码,大于127用unicode。
假设页面中有如下脚本片段:
<script>
var j="${var}"
</script>
假设var被恶意注入为 ";alert(1);//
<script> var j="";alert(1);// </script>
这样页面又会弹出一个alert框,而如果对 ";alert(1);// 进行javascriptEncode,则变为下面这样,不会产生注入影响
<script>
var j="\"\x3balert\x281\x29\x3b\x2F\x2F"
</script>
数据在脚本中输出或者在事件中输出时要使用javascriptEncode
#urlEncode
urlEncode可以对中文以及特殊字符进行编码,数据在url类型输出时要使用urlEncode,比如href,src
www.abc.com?name=<script>alert('钓鱼岛')</script>
对上面这句urlEncode之后就变成了:
www.abc.com%3fname%3d%3cscript%3ealert(%27%e9%92%93%e9%b1%bc%e5%b2%9b%27)%3c%2fscript%3e
#为何Encode可以起作用?
htmlEncode可以防止恶意的标签闭合
JavaScriptEncode可以防止引号闭合
urlEncode可以防止标签闭合同时支持中文输入