摘要:攻擊能獲取頁面數(shù)據(jù)劫持前端邏輯發(fā)送請求���,偷取網(wǎng)站任意數(shù)據(jù)用戶資料欺騙用戶,所以是我們特別需要注意的前端安全問題����。攻擊可能來源可以通過動態(tài)節(jié)點內(nèi)容屬性富文本來對頁面進行攻擊。內(nèi)容安全策略�����,用于指定哪些內(nèi)容可以執(zhí)行。
XSS
XSS全稱是跨站腳本攻擊(Cross Site Scripting)�,所以我們可以縮寫成CSS,下面我們開始介紹CSS���,先講選擇器���。聽著是不是很奇怪,為了與層疊樣式表區(qū)分開來��,我們選擇XSS做為其縮寫����。 XSS攻擊能獲取頁面數(shù)據(jù)、cookie����、劫持前端邏輯、發(fā)送請求��,偷取網(wǎng)站任意數(shù)據(jù)����、用戶資料����、欺騙用戶��,所以是我們特別需要注意的前端安全問題�����。 我在騰訊云上架了一個網(wǎng)站����,專門用來承接各種攻擊,歡迎來玩����。 XSS攻擊能獲取頁面數(shù)據(jù)、cookie���、劫持前端邏輯����、發(fā)送請求�����,偷取網(wǎng)站任意數(shù)據(jù)�、用戶資料、欺騙用戶���,所以是我們特別需要注意的前端安全問題���。
XSS攻擊分為反射型XSS攻擊,直接通過URL注入���、存儲型XSS攻擊 存儲到DB后讀取時注入�����。
XSS攻擊可能來源
可以通過 動態(tài)HTML節(jié)點內(nèi)容���、 HTML屬性、Javascript����、 富文本來對頁面進行攻擊。
瀏覽器自帶防御措施
X-XSS-Protection, 0
http://123.207.46.233/?from=
http://123.207.46.233/?from=111";alert(1);"
發(fā)出請求時���,XSS代碼出現(xiàn)在URL里�����,作為輸入提交到服務器端���,服務器端解析后響應���,XSS代碼隨瀏覽器一起傳回給瀏覽器,最后瀏覽器解析執(zhí)行XSS代碼����。這個過程像一次反射,故叫反射性XSS�����。
localhost:3000/?xss=
瀏覽器防御功能很有線�,只能訪問反射型攻擊且不能防御來自富文本的攻擊。
HTML內(nèi)容和屬性轉譯
function html_encode(str) {
if (!str) {
return str;
}
return str.replace(/[<>&""]/g, (all) => {
return {
"<": "<",
">": ">",
"&": "&",
""": """
""": "'"
}[all]
});
}
但是用以上的方法并不能解決所有的問題�,如果將用于的輸入當成一個js變量,我們
var escapeForJs = function(str) {
if (!str) {
return ""
}
str = str.replace(//g, "");
str = str.replace(/"/g, """);
return str;
}
富文本防御
使用黑名單風險特別大��,我們只能使用白名單來過濾���。我們首先要知道這個標簽是否合法��,其次看標簽上的
屬性是否合法��。
var cheerio = require("cheerio");
var xssFilter = function (html) {
if (!html) {
return "";
}
var $ = cheerio.load(html);
var whiteList = {
"img": ["src"],
"font": ["color", "size"],
"a": ["href"]
}
$("*").each(function (index, elem) {
let name = elem.name;
if(!whiteList[name]) {
$(elem).remove();
return;
}
for (var attr in elem.attribs) {
if (whiteList[name].indexOf("attr") === -1) {
$(elem).attr(attr, null);
}
}
})
}
下面給大家介紹一個神器xss模塊�����,var xss = require("xss")�����,滿足你對XSS的一切幻想��。
CSP
Content Security Policy內(nèi)容安全策略�,用于指定哪些內(nèi)容可以執(zhí)行�����。
例如:
Content-Security-Policy: default-src "self" // 只允許同域的腳本執(zhí)行
Cookie特性
cookie是用于前端數(shù)據(jù)存儲�,后端通過http頭設置,請求時通過http頭傳給后端��,前端可以讀寫�,遵守同源策略(協(xié)議�����、域名����、端口全部一致)�。
域名 有效期 路徑 http-only secure(https)
存儲個性化設置
存儲未登陸時用戶的唯一標識符
存儲已登陸用戶的憑證
存儲其他業(yè)務數(shù)據(jù)
用戶ID + 簽名
sessionId
cookieID
?簽名防串改
私有變化
http-only
CSRF攻擊
cross site request forgy,跨站請求偽造
用戶登陸A網(wǎng)站���、A網(wǎng)站確認身份��、B網(wǎng)站向A網(wǎng)站發(fā)起請求(帶A網(wǎng)站身份)
利用用戶登陸態(tài)
用戶并不知情
完成業(yè)務請求
禁用第三方的cookie�����,same-site
通過referer
文章版權歸作者所有�,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://systransis.cn/yun/83583.html
