XSS 攻擊

按照之前說的思路，先講概念，說用途

什么是XSS攻擊

XSS即Cross Site Scripting（跨站腳本攻擊）,指的是攻擊者想盡一切辦法將一些可執(zhí)行的代碼注入到網(wǎng)頁中，利用這些惡意腳本，攻擊者可獲取用戶的敏感信息如 Cookie、SessionID 等，進(jìn)而危害數(shù)據(jù)安全。為了不和層疊樣式表CSS混淆，故將其縮寫為 XSS

XSS 可以分為：存儲型 XSS (也叫持久型 XSS)、反射型 XSS (也叫非持久型)。

存儲型

存儲型也就是攻擊的代碼被服務(wù)端寫入進(jìn)數(shù)據(jù)庫中，這種攻擊危害性很大，因?yàn)槿绻W(wǎng)站訪問量很大的話，就會導(dǎo)致大量正常訪問頁面的用戶都受到攻擊。

這種攻擊常見于帶有用戶保存數(shù)據(jù)的網(wǎng)站功能，如論壇發(fā)帖、商品評論、用戶私信等。具有攻擊性的腳本被保存到了服務(wù)器并且可以被普通用戶完整的從服務(wù)的取得并執(zhí)行，從而獲得了在網(wǎng)絡(luò)上傳播的能力。

反射型

反射型也叫非持久型，相比于前者危害就小一些，一般通過修改 URL 參數(shù)的方式加入攻擊代碼，誘導(dǎo)用戶訪問鏈接從而進(jìn)行攻擊。

這種常見于通過 URL 傳遞參數(shù)的功能，如網(wǎng)站搜索、跳轉(zhuǎn)等。由于需要用戶主動打開惡意的 URL 才能生效，攻擊者往往會結(jié)合多種手段誘導(dǎo)用戶點(diǎn)擊。

二者區(qū)別：存儲型 XSS 的惡意代碼存在數(shù)據(jù)庫里，反射型 XSS 的惡意代碼存在 URL 里。

舉兩個案例幫助更好的理解：當(dāng)我們在做商品評論時，用戶輸入的內(nèi)容未經(jīng)過過濾直接保存到數(shù)據(jù)庫中。

攻擊者可以構(gòu)建一條評論， 包含惡意內(nèi)容：

質(zhì)量非常不錯！

當(dāng)你的評論列表被用戶瀏覽時， 直接從服務(wù)端取出，回填到HTML響應(yīng)中：

• 質(zhì)量非常不錯！

• 那么瀏覽器會加載執(zhí)行惡意腳本danger.com/spread.js， 在惡意腳本中利用用戶的登錄狀態(tài)發(fā)更多的帶有惡意評論的URL， 誘導(dǎo)更多人點(diǎn)擊，層層傳播，放大攻擊范圍。

  這個案例就是一個典型的存儲型XSS攻擊。再來看一個反射型攻擊案例：

  某天小范開發(fā)了一個搜索頁面，通過用戶輸入搜索內(nèi)容，展示相應(yīng)的數(shù)據(jù)：

  http://localhost:8080/helloController/search?name=

  http://localhost:8080/helloController/search?name=

  http://localhost:8080/helloController/search?name=點(diǎn)我

  有時攻擊者會偽造一個圖片，讓你點(diǎn)擊后鏈接跳轉(zhuǎn)URL。

  對于這種攻擊方式來說，如果用戶使用的是Chrome 瀏覽器的話，瀏覽器已經(jīng)幫助用戶做了防御攻擊。但是我們也不能說就不防御了，因?yàn)闊o法保證用戶都是用有防御攻擊的瀏覽器。

  XSS攻擊如何進(jìn)行防范

  我們講了這么XSS的原理和危害，那么我們在日常開發(fā)當(dāng)中到底該如何預(yù)防呢？

  1.輸入輸出過濾

  一切用戶輸入皆不可信，在輸出時進(jìn)行驗(yàn)證，一般做法是將 ‘ ” < > & 這些個危險字符進(jìn)行轉(zhuǎn)義。

  const?signs?=?{

  ‘&’:?‘&amp’,

  ‘<’:?‘&lt’,

  ‘>’:?‘&gt’,

  ‘"’:?‘&quot’,

  “'”:?‘&#39’

  }

  const?signReg?=?/[&<>"']/g

  function?escape(string)?{

  return?(string?&&?reUnescapedHtml.test(string))

  ??string.replace(reUnescapedHtml,?(chr)?=>htmlEscapes[chr])

  :?string

  }

  通過轉(zhuǎn)義<script></script>將被轉(zhuǎn)義成&ltscript&gt&lt/script&gt;

  對于URL地址的轉(zhuǎn)義可以使用encodeURI,當(dāng)你需要編碼URL中的參數(shù)的時候，那么encodeURIComponent是最好方法。

  上面對字符進(jìn)行轉(zhuǎn)義的方式很明顯并不適用于所有場景，比如富文本，這樣會將需要的格式都過濾掉。因?yàn)镠TML標(biāo)簽種類繁多，基于黑名單的過濾方法考慮的并不全面，所以我們可以根據(jù)白名單過濾HTML, 可以借助xss.js來完成：

  //?瀏覽器

  使用：

  filterXSS('

  XSS?Demo

  Whitelist

  ')

  輸出結(jié)果：

  XSS?Demo

  <script?type="text/javascript">alert(/xss/);</script>

  Whitelist

  如果后端直接將字符串存入數(shù)據(jù)庫也是不妥的，后端也必須做處理，因?yàn)榘l(fā)送到后端的內(nèi)容還可以通過其他方式, 前端處理并不能保障安全。

  2. Cookie 的 HttpOnly

  當(dāng)用戶的登錄憑證存儲于服務(wù)器的 session 中，而在瀏覽器中是以 cookie 的形式存儲的。很多XSS攻擊目標(biāo)都是竊取用戶cookie偽造身份認(rèn)證。

  可以通過在 cookie 中設(shè)置 HttpOnly 屬性，js腳本將無法讀取到 cookie 信息。

  ctx.cookies.set(name,?value,?{

  httpOnly:?true?//?默認(rèn)為?true

  })

  3. CSP(內(nèi)容安全策略)

  CSP (Content Security Policy，內(nèi)容安全策略)是 W3C 提出的 ，本質(zhì)上就是白名單制度，開發(fā)者明確告訴瀏覽器哪些外部資源可以加載和執(zhí)行。它的實(shí)現(xiàn)和執(zhí)行全部由瀏覽器完成，我們只需提供配置。

  CSP 大大增強(qiáng)了網(wǎng)頁的安全性。攻擊者即使發(fā)現(xiàn)了漏洞，也沒法注入腳本，除非還控制了一臺列入了白名單的可信主機(jī)。

  兩種方法可以啟用 CSP：

  • 一種是通過 HTTP 頭信息的Content-Security-Policy的字段

  • 另一種是通過網(wǎng)頁的<meta>標(biāo)簽

  方式1舉例

  Content-Security-Policy:?default-src?‘self’

  表示只允許加載本站資源

  Content-Security-Policy:?default-src?https://demo.example.cn?https://demo.example2.cn;?object-src?‘none’

  CSP 的值中，不同屬性以 ; 隔開，同一屬性的多個值以空格隔開。上面例子的意思就是默認(rèn)允許讀取 https://demo.example.cn和https://cdn.example2.net 的資源，object-src 使用的相關(guān)資源無白名單，也就是完全不允許讀出。

  如果使用了不符合要求的資源，瀏覽器會給予攔截，給出下面提示：

  Refused?to?execute?inline?script?because?it?violates?the?following?Content?Security?Policy?directive

  我們也可以使用 meta 標(biāo)簽代替 HTTP 頭：

  <meta

  http-equiv=“Content-Security-Policy”

  content=“default-src?https://cdn.example.net;?child-src?‘none’;?object-src?‘none’”

  />

  Content-Security-Policy 的常用選項(xiàng)有這些：

  • default-src: 是 src 選項(xiàng)的默認(rèn)值，但不能覆蓋以下值：base-uri、form-action、frame-ancestors、plugin-types、report-uri、sandbox

  • base-uri：特別說一下<base> 標(biāo)簽是因?yàn)楣侣崖劦奈业谝淮我姷?。指定用于一個文檔中包含的所有相對 URL 的根 URL，一個文件只能有一個 <base> 標(biāo)簽，用起來大概是這樣的：<base target="_top" >。

  • connect-src: XHR、WebSockets 等連接使用的地址

  • font-src：字體文件來源

  • img-src：圖片地址

  • media-src：音視頻地址

  • object-src：Flash 相關(guān)

  • report-uri：出現(xiàn)報錯時提交到指定 uri，不能在 ?標(biāo)簽使用

  • style-src：樣式文件

  CSRF 攻擊

  ---

  除了上面說的XSS攻擊外，還有一種常見的攻擊方式：CSRF攻擊。

  什么是CSRF攻擊

  自我介紹一下，小編13年上海交大畢業(yè)，曾經(jīng)在小公司待過，也去過華為、OPPO等大廠，18年進(jìn)入阿里一直到現(xiàn)在。

  深知大多數(shù)前端工程師，想要提升技能，往往是自己摸索成長或者是報班學(xué)習(xí)，但對于培訓(xùn)機(jī)構(gòu)動則幾千的學(xué)費(fèi)，著實(shí)壓力不小。自己不成體系的自學(xué)效果低效又漫長，而且極易碰到天花板技術(shù)停滯不前！

  因此收集整理了一份《2024年Web前端開發(fā)全套學(xué)習(xí)資料》，初衷也很簡單，就是希望能夠幫助到想自學(xué)提升又不知道該從何學(xué)起的朋友，同時減輕大家的負(fù)擔(dān)。
  
  
  
  
  
  

  既有適合小白學(xué)習(xí)的零基礎(chǔ)資料，也有適合3年以上經(jīng)驗(yàn)的小伙伴深入學(xué)習(xí)提升的進(jìn)階課程，基本涵蓋了95%以上前端開發(fā)知識點(diǎn)，真正體系化！

  由于文件比較大，這里只是將部分目錄大綱截圖出來，每個節(jié)點(diǎn)里面都包含大廠面經(jīng)、學(xué)習(xí)筆記、源碼講義、實(shí)戰(zhàn)項(xiàng)目、講解視頻，并且后續(xù)會持續(xù)更新

  如果你覺得這些內(nèi)容對你有幫助，可以添加V獲?。簐ip1024c （備注前端）
  

  文末

  逆水行舟不進(jìn)則退，所以大家要有危機(jī)意識。

  同樣是干到35歲，普通人寫業(yè)務(wù)代碼劃水，榜樣們深度學(xué)習(xí)拓寬視野晉升管理。

  這也是為什么大家都說35歲是程序員的門檻，很多人邁不過去，其實(shí)各行各業(yè)都是這樣都會有個坎，公司永遠(yuǎn)都缺的高級人才，只用這樣才能在大風(fēng)大浪過后，依然閃耀不被公司淘汰不被社會淘汰。

  為了幫助大家更好溫習(xí)重點(diǎn)知識、更高效的準(zhǔn)備面試，特別整理了《前端工程師核心知識筆記》電子稿文件。

  內(nèi)容包括html，css，JavaScript，ES6，計(jì)算機(jī)網(wǎng)絡(luò)，瀏覽器，工程化，模塊化，Node.js，框架，數(shù)據(jù)結(jié)構(gòu)，性能優(yōu)化，項(xiàng)目等等。

  269頁《前端大廠面試寶典》

  包含了騰訊、字節(jié)跳動、小米、阿里、滴滴、美團(tuán)、58、拼多多、360、新浪、搜狐等一線互聯(lián)網(wǎng)公司面試被問到的題目，涵蓋了初中級前端技術(shù)點(diǎn)。

  CodeChina開源項(xiàng)目：【大廠前端面試題解析+核心總結(jié)學(xué)習(xí)筆記+真實(shí)項(xiàng)目實(shí)戰(zhàn)+最新講解視頻】

  

  前端面試題匯總

  門檻，很多人邁不過去，其實(shí)各行各業(yè)都是這樣都會有個坎，公司永遠(yuǎn)都缺的高級人才，只用這樣才能在大風(fēng)大浪過后，依然閃耀不被公司淘汰不被社會淘汰。

  為了幫助大家更好溫習(xí)重點(diǎn)知識、更高效的準(zhǔn)備面試，特別整理了《前端工程師核心知識筆記》電子稿文件。

  內(nèi)容包括html，css，JavaScript，ES6，計(jì)算機(jī)網(wǎng)絡(luò)，瀏覽器，工程化，模塊化，Node.js，框架，數(shù)據(jù)結(jié)構(gòu)，性能優(yōu)化，項(xiàng)目等等。

  269頁《前端大廠面試寶典》

  包含了騰訊、字節(jié)跳動、小米、阿里、滴滴、美團(tuán)、58、拼多多、360、新浪、搜狐等一線互聯(lián)網(wǎng)公司面試被問到的題目，涵蓋了初中級前端技術(shù)點(diǎn)。

  CodeChina開源項(xiàng)目：【大廠前端面試題解析+核心總結(jié)學(xué)習(xí)筆記+真實(shí)項(xiàng)目實(shí)戰(zhàn)+最新講解視頻】

  

  前端面試題匯總

  文章來源地址http://www.zghlxwxcb.cn/news/detail-846368.html

到了這里，關(guān)于你在項(xiàng)目中做過哪些安全防范措施？，解密前端開發(fā)常見誤區(qū)的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！