浅谈系列之跨站脚本工了个鸡（XSS） _浅谈系列

吾生也有涯,而知也无涯。这篇文章主要讲述浅谈系列之跨站脚本工了个鸡（XSS）相关的知识，希望能为你提供帮助。

文章图片

一、XSS简介
XSS，英文全称Cross Site Scripting，翻译过来就是跨站脚本，本应该写作CSS，但是为了和层叠样式表（Cascading Style Sheet）有所区分，所以改写为XSS。
二、XSS工了个鸡基本原理
跨站脚本工了个鸡顾名思义是通过脚本来完成工了个鸡的，也就是通过将恶意的Script代码通过某些方式插入Web网页中，当用户访问这个网页的时候，插入的恶意Script代码就会执行，从而实现工了个鸡的效果。
个人总结XSS工了个鸡四步曲：
1、工了个鸡者在正经url后某个参数中添加恶意代码；
2、通过各种“威逼利诱”引导受害者点击包装好的url；
3、受害者浏览器收到响应后执行解析，其中的恶意代码也会被执行到；
4、在恶意代码中，工了个鸡者可以实现盗取受害者的cookie\\token等相关信息，然后冒充受害者进行非法操作；
三、XSS工了个鸡类型
反射型XSS（非持久化）
工了个鸡者引诱受害者访问包含恶意脚本的链接，这类工了个鸡需要受害者主动点击才能触发。此类恶意代码是存在url中的，每次工了个鸡都是一次性的，所以又称为非持久性XSS。
存储型XSS（持久化）
工了个鸡者在web页面中的输入框（如留言板）中输入恶意代码进行提交，此时恶意代码将会上传至服务器中，待后续有访问此页面用户的浏览器就会执行这串恶意代码。此类恶意代码是存储在后端数据库中，所以又称为持久性XSS。
DOM型
我们客户端的js可以对页面dom节点进行动态的操作，比如插入、修改页面的内容。比如说客户端从URL中提取数据并且在本地执行，如果用户在客户端输入的数据包含了恶意的js脚本的话，但是这些脚本又没有做任何过滤处理的话，那么我们的应用程序就有可能受到DOM-based XSS的工了个鸡。
四、如何防范XSS工了个鸡
1、后端对提交的数据进行过滤；
2、使用内容安全性政策（CSP）；
3、禁止 javascript 读取某些敏感 Cookie
4、对于不受信任的输入，都应该限定一个合理的长度；
5、时刻保持安全意识，在写代码的时候考虑安全风险；
五、写在最后
万事没有绝对，安全也是一样，只有相对安全，没有绝对安全。我们需要时刻保持安全意识，在产品设计之初、在测试阶段、在上线后服务运维阶段等等等等。在业务和安全之间找到平衡的那个点，才能更好的展现安全本身的安全。
下期预告：浅谈系列之跨站请求伪造（CSRF），敬请期待~