原则上是精心构造JS代码,诱导用户,进行攻击
1 分类
1.1 存储型XSS
1.1.1 原理
攻击者将恶意脚本存储在服务器端的数据库或文件系统中,当用户访问包含恶意脚本的页面时,服务器将恶意脚本从数据库或文件系统检索出来,并返回给用户的浏览器,浏览器执行该恶意脚本。
1.1.2 步骤
(1)识别注入点,web页面中可以输入数据的地方:评论框,论坛,用户信息设置等
(2)输入恶意脚本:eg:
<script>alert('xss')</script>
(3)提交数据
(4)等待触发,其它用户访问包含恶意脚本的数据时,服务器会从数据库中读取这些数据,并在响应中返回给用户的浏览器,浏览器就执行该代码,eg:上面的代码会出现一个弹窗
1.2 反射型XSS
1.2.1 原理
发生在用户输入立即被反射到服务器响应中,攻击者通常通过URL传递恶意脚本,当用户点击恶意链接时,脚本会被执行。
1.2.2 步骤
(1)构造恶意URL(包含恶意XSS)
(2)诱导用户点击(电子邮件,社交媒体)
(3)当用户访问,服务器将用户输入反射回响应中,浏览器解析并执行其中的恶意脚本
1.3 DOM型XSS
1.3.1 原理
攻击者操作页面中的DOM元素,引起脚本执行
1.3.2 步骤
(1)操作客户端脚本:攻击者通过URL参数或其他输入注入恶意脚本,并利用客户端操纵DOM元素
(2)诱导用户点击链接
(3)客户端解析并执行代码
2 防御
2.1 输入验证和清理
对用户输入的数据进行严格的验证和清理,确保不包含恶意代码,eg:某些情况下只允许包含纯文本,不能包含HTML标签
2.2 输出编码
将用户输入的数据包含在HTML响应中时,对数据进行适当的编码,即实体化,eg:将 < 转换为<
2.3 使用适当框架的安全功能
eg:使用Django,在这个框架中存在上面两种防御措施,并且其中有CSRF令牌可以防御CSRF攻击
2.4内容安全策略(CSP)
通过设置HTTP响应头来控制哪些资源可以加载和执行,CSP可以指定允许加载的脚本、图像等资源的来源,从而防止恶意脚本的执行。
CSP的核心思想:网站通过发送一个CSP头部,来告诉浏览器什么是被授权执行的,什么是需要被禁止的,类似于一个白名单
一般情况有两种策略:
Content-Security-Policy:指定具体的策略,不符合就会被阻止,也可以报告
Content-Security-Policy-Report-Only:不阻止,只是记录违反限制的行为,必须与report-uri配合使用
使用场景:网关与HTML
2.5 HttpOnly和Secure标志
防止JS访问Cookie和确保Cookie只通过HTTPS传输,eg:
response.set_cookie('username','value',httponly=True,secure=True)
如果各位有什么看法,可以发表在评论区,大家共同进步!