作者: friday
http://forsomething.cn/
针对xss的防御,必须遵循的准则就是:
不要相信用户输入的任何东西,不要将用户输入的数据变为代码执行,从而混淆了原本的语意。
要根治xss攻击。需要了解xss所在的不同的场景。
xss过滤方式:
1、在html标签中的输出
<div>$var</div>
在标签中直接输出,导致xss问题。
防御的方法:对用户输入的变量使用htmlencode
2、在html属性中的输出
<div id="xxx" name="$var"></div>
防御方法依然是使用htmlencode进行处理,不过更为保险的做法是:除了字母和数字之外,其他所有的特殊字符都编码为htmlentities。
3、在<script>中的输出
<script>
var x="$var";
<script>
这个就必须进行符号的闭合,防御采用的是javascriptEncode。
4、在事件中的输出
和<script>中的输出类似:
<a href=# onclick="funcA('$var')">test</a>
防御采用javascriptEncode防止符号的闭合
5、在css中的输出
在css中的输出在xss中的利用中非常多元化,可通过@import(),url()引入外部css样式进行xss的攻击,可以利用expression进行xss的攻击。
防御的话禁止用户可控制的遍历出现在<style>、css文件中。
推荐使用owasp的encodeForCSS()函数进行加密,也就是除了字母和数字之外的特殊字符都编码成十六进制的形式
6、在地址中的输出
这种使用urlEncode即可,将特殊字符进行url编码转换。
其中比较特殊的就是伪协议的url,例如javascript,dataurl,这种的话对url进行判断是否是http协议的url地址
7、富文本的处理
富文本的xss防御比较多样化,除了上述的一些,还应注意使用白名单标签,避免使用黑名单标签。
8、dom型xss
这个是比较特殊的xss攻击方式。
防御的方法也比较特殊,在$var变量进入<script>时,应该先执行一次javascriptencode,在dom输出到html页面时候也需要区别对待,如果是输出到事件或者脚本中,则需要在做一次javascriptencode,如果是输出到html或者属性,则需要做一个htmlencode。
减少xss危害的方法
1、添加httponly属性
2、系统后台增加ip访问限制,主要是针对获取cookie伪造管理员登入方式。
