最近在看《白帽子讲Web安全》这本书,对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。
XSS的本质
XSS事件发生在网站前端,在相关的数据替换到前端页面中时,新旧数据结合,混淆了页面原本的语义,产生了新的语义。以下面这种情况为例:
将$var的值注入到页面中,本来是为了提供一个跳转用的url地址。但若将$var的值设为" οnclick=alert(1)\,则以上HTML变为了:
点击test文字后,会进行alert输出,即改变了原有的HTML语义。
HtmlEncode
当$var变量出现在HTML标签或属性中时,XSS可分别通过以下两种方法来进行注入。
在HTML标签中,如下所示:
$var
若不对$var进行任何处理,当$var的值为时,在一些老式的浏览器中,HTML代码如下:
则这些浏览器会执行alert的js操作,实现了XSS注入。
在HTML属性中,如下所示:
test
若不对$var进行任何处理,当$var的值为"> 时,HTML代码如下:
">test
则浏览器会执行alert的js操作,实现了XSS注入。
为了防御这两种XSS,可以采用对$var变量进行Ht