js 前端防xss攻击——百度UEditor解决方案

小灰灰 2021-06-26 16:06 1377阅读 0赞

`xss`跨站脚本攻击(`Cross Site Scripting`)，是一种经常出现在`web`应用中的计算机安全漏洞，指攻击者在网页中嵌入客户端脚本(例如`JavaScript`), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。比如获取用户的`Cookie`，导航到恶意网站,携带木马等。

大部分的`xss`漏洞都是由于没有处理好用户的输入，导致攻击脚本在浏览器中执行，这就是跨站脚本漏洞的根源。

## 一、xss攻击类型 ##

### 1.非持久型`XSS`攻击 ###

非持久型`XSS`（`Non-persistent`）又叫做反射`XSS`（`Reflect XSS`），它是指那些浏览器每次都要在参数中提交恶意数据才能触发的跨站脚本漏洞。

非持久型`XSS`漏洞实际上大多数攻击数据是包含在`URL`中的，类似这样的：`http://www.vicitim.com/vul.asp?hi=[code]`。需要用户的浏览器访问到这个`URL`恶意代码才执行，攻击者一般会把`URL`发给用户让用户通过浏览器去访问。不过`URL`里面带有稀奇古怪的代码确实有点奇怪，为了掩人耳目，攻击者可以发一个看起来没问题的`URL`，再通过那个页面跳转到恶意的URL；甚至也可以让一个域名转向到恶意`URL`，把那个域名发给用户。

### 2.持久型`XSS`攻击 ###

持久型XSS（`Persistent`）又叫做存储XSS（`Stored XSS`），与非持久型`XSS`相反，它是指通过提交恶意数据到存储器（比如数据库、文本文件等），Web应用程序输出的时候是从存储器中读出恶意数据输出到页面的一类跨站脚本漏洞。

持久型`XSS`攻击就简单一点，只要第一次把攻击代码提交到服务器就一劳永逸了。比如我在某个论坛发帖的时候，论坛没有对传入的`HTML`作处理，那么我就可以发一个帖子内容包含“`<script>[code]</script>`”的帖子。呵呵，然后就守株待兔地等着来看帖子的人执行恶意脚本了。持久型`XSS`漏洞是把恶意脚本存储到了数据库，访问页面的时候完全没有预兆，所以它的危害也比非持久型XSS略微高一点。

## 二、常见的xss攻击方法 ##

1.  绕过`XSS-Filter`，利用`<>`标签注入`Html/JavaScript`代码；
2.  利用HTML标签的属性值进行`xss`攻击。例如：`<img src=“javascript:alert(‘xss’)”/>`；（当然并不是所有的Web浏览器都支持`Javascript`伪协议，所以此类`XSS`攻击具有一定的局限性）
3.  空格、回车和`Tab`。如果`XSS Filter`仅仅将敏感的输入字符列入黑名单，比如`javascript`，用户可以利用空格、回车和Tab键来绕过过滤，例如：`<img src=“javas cript:alert(/xss/);”/>`；
4.  利用事件来执行跨站脚本。例如：`<img src=“#” onerror= “alert(1)”/>`，当`src`错误的视乎就会执行`onerror`事件；
5.  利用CSS跨站。例如：`Body {backgrund-image: url(“javascript:alert(‘xss’)”)}；`
6.  扰乱过滤规则。例如：`<IMG SRC=“javaSCript: alert(/xss/);”/>；`
7.  利用字符编码，透过这种技巧，不仅能让`XSS`代码绕过服务端的过滤，还能更好地隐藏`Shellcode`；（JS支持`unicode`、`eacapes`、十六进制、十进制等编码形式）
8.  拆分跨站法，将`xss`攻击的代码拆分开来，适用于应用程序没有过滤 `XSS`关键字符（如<、>）却对输入字符长度有限制的情况下；
9.  `DOM`型的`XSS`主要是由客户端的脚本通过`DOM`动态地输出数据到页面上，它不依赖于提交数据到服务器，而是从客户端获得`DOM`中的数据在本地执行。容易导致`DOM`型的`XSS`的输入源包括：

Document.URL、Location(.pathname|.href|.search|.hash)、Document.referrer、Window.name、Document.cookie、localStorage/globalStorage；

## 三、`XSS`攻击防御 ##

原则：不相信客户输入的数据  
注意: 攻击代码不一定在中

### 1.使用`XSS Filter`。 ###

输入过滤，对用户提交的数据进行有效性验证，仅接受指定长度范围内并符合我们期望格式的的内容提交，阻止或者忽略除此外的其他任何数据。比如：电话号码必须是数字和中划线组成，而且要设定长度上限。过滤一些些常见的敏感字符，例如：`< > ‘ “ & # \ javascript expression "οnclick=" "onfocus"`；过滤或移除特殊的Html标签， 例如: `<script>, <iframe> , < for <, > for >, &quot for`；过滤JavaScript 事件的标签，例如 “`οnclick=`”, “`onfocus`” 等等。

输出编码，当需要将一个字符串输出到Web网页时，同时又不确定这个字符串中是否包括`XSS`特殊字符（如`< > &‘”`等），为了确保输出内容的完整性和正确性，可以使用编码（`HTMLEncode`）进行处理。

### 2.DOM型的XSS攻击防御 ###

把变量输出到页面时要做好相关的编码转义工作，如要输出到 `<script>`中，可以进行JS编码；要输出到`HTML`内容或属性，则进行`HTML`编码处理。根据不同的语境采用不同的编码处理方式。

### 3.`HttpOnly Cookie` ###

将重要的`cookie`标记为`http only`, 这样的话当浏览器向Web服务器发起请求的时就会带上`cookie`字段，但是在脚本中却不能访问这个`cookie`，这样就避免了`XSS`攻击利用`JavaScript`的`document.cookie`获取`cookie`

## 四、代码实现 ##

以下代码主要摘自百度`UEditor`插件