什么是XSS攻击? 如何防范XSS攻击? 什么是CSP?
XSS 简单点说----攻击者想尽一切办法把可执行代码注入到网页中
两种XSS攻击----------持久型 和非持久型
持久型:攻击的代码被服务端写入数据库中(访问数量大的话,导致大量用户都受到攻击)
eg:评论区出现代码,保存到数据库中------用户每次打开页面都会受到攻击
非持久型:危害小于前者
一般通过修改URL参数的方式加入攻击代码,引导用户访问连接从而进行攻击
eg :
<!-- http://www.domain.com?name=<script>alert(1)</script> -->这种攻击Chrome帮助用户防御攻击
两种方式防御XSS攻击
方式一:
1.转义字符:对于用户输入永远不信任---------普遍做法:转义输入输出内容,对引号,尖括号,斜杠转义
通过转义可以将攻击代码 <script>alert(1)</script> 变成
但是对于显示富文本-------不能通过上面方法转义所有字符-------因为这样将格式也会处理掉
2.对于这种情况,通常采用白名单过滤的办法,当然也可以通过黑名单过滤,
但是考虑到需要过滤的标签和标签属性实在太多,更加推荐使用白名单的方式。
上示例使用了 js-xss 来实现,可以看到在输出中保留了 h1 标签且过滤了 script 标签。
方式二:CSP:本质 就是建立白名单
开发者明确告诉浏览器那些外部资源可加载 执行-------------我们只需要配置规则,如何拦截是浏览器自己实现
以下两种但是开启CSP
1.设置 HTTP Header 中的 Content-Security-Policy
2.设置 meta 标签的方式 <meta http-equiv="Content-Security-Policy">
只要开发者配置了正确的规则,那么即使网站存在漏洞,攻击者也不能执行它的攻击代码,并且 CSP 的兼容性也不错。
CSRF攻击
涉及面试题:什么是 CSRF 攻击?如何防范 CSRF 攻击?
CSRF 中文名为跨站请求伪造。原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑。
eg:网站中通过GET请求,提交用户评论接口-----------------攻击者在钓鱼网站中加入图片,图片地址就是评论接口(post请求也会由这个问题)
<img src="http://www.domain.com/xxx?comment='attack'"/>
防御:1. Get 请求不对数据进行修改
2. 不让第三方网站访问到用户 Cookie
3. 阻止第三方网站请求接口
4.请求时附带验证信息,比如验证码或者 TokenSameSite
点击挟持
中间人攻击
