最近在看《白帽子講Web安全》這本書，對于XSS有了一定的了解。現(xiàn)在對于書中關(guān)于防御XSS的4種方法做一些總結(jié)與解說。

XSS的本質(zhì)

XSS事件發(fā)生在網(wǎng)站前端，在相關(guān)的數(shù)據(jù)替換到前端頁面中時(shí)，新舊數(shù)據(jù)結(jié)合，混淆了頁面原本的語義，產(chǎn)生了新的語義。以下面這種情況為例：

<a href="$var">test</a>

將$var的值注入到頁面中，本來是為了提供一個(gè)跳轉(zhuǎn)用的url地址。但若將$var的值設(shè)為" onclick=alert(1)\，則以上HTML變?yōu)榱耍?/p>

<a href="" onclick=alert(1) \">test</a>

點(diǎn)擊test文字后，會進(jìn)行alert輸出，即改變了原有的HTML語義。

HtmlEncode

當(dāng)$var變量出現(xiàn)在HTML標(biāo)簽或?qū)傩灾袝r(shí)，XSS可分別通過以下兩種方法來進(jìn)行注入。

1. 在HTML標(biāo)簽中，如下所示：

<p>$var</p>

若不對$var進(jìn)行任何處理，當(dāng)$var的值為<script>alert(1)</script>時(shí)，在一些老式的瀏覽器中，HTML代碼如下：

<p><script>alert(1)</script></p>

則這些瀏覽器會執(zhí)行alert的js操作，實(shí)現(xiàn)了XSS注入。

2. 在HTML屬性中，如下所示：

<p name="$var">test</p>

若不對$var進(jìn)行任何處理，當(dāng)$var的值為"> <script>alert(1)</script>時(shí)，HTML代碼如下：

<p name=""> <script>alert(1)</script>">test</p>

則瀏覽器會執(zhí)行alert的js操作，實(shí)現(xiàn)了XSS注入。

為了防御這兩種XSS，可以采用對$var變量進(jìn)行HtmlEncode的方法。HtmlEncode的作用是將$var的一些字符進(jìn)行轉(zhuǎn)化，使得瀏覽器在最終輸出結(jié)果上是一樣的，但能夠防止注入的JavaScript執(zhí)行。

HtmlEncode支持的轉(zhuǎn)換舉例如下：

& --> &
< --> <
> --> >

以

<script>alert(1)</script>

為例，對$var進(jìn)行HtmlEncode后的結(jié)果為：

<script>alert(1)</script>

以上HTML在瀏覽器中的顯示結(jié)果就是<script>alert(1)</script>，實(shí)現(xiàn)了將$var作為純文本進(jìn)行了輸出，且不引起JavaScript的執(zhí)行。

JavaScriptEncode

當(dāng)$var變量出現(xiàn)在<script>標(biāo)簽內(nèi)或其它JavaScript的執(zhí)行環(huán)境中時(shí)，XSS可通過以下方法來進(jìn)行注入，示例如下：

<script>
    var x = "$var";
</script>

若不對$var進(jìn)行任何處理，當(dāng)$var的值為";alert(1);"時(shí)，JavaScript代碼如下：

<script>
    var x = "";alert(1);""
</script>

則瀏覽器會執(zhí)行alert的js操作，實(shí)現(xiàn)了XSS注入。

為了防御這種XSS，可以采用對$var變量進(jìn)行JavaScriptEncode的方法。JavaScriptEncode的作用可以是將$var中除了數(shù)字、字母外的所有字符進(jìn)行十六進(jìn)制化處理，使得瀏覽器最終輸出結(jié)果上是一樣的，但能夠防止注入的JavaScript執(zhí)行。

以

";alert(1);"

為例，對$var進(jìn)行JavaScriptEncode后的結(jié)果為：

\x22\x3balert\x281\x29\x3b\x22

其中\(zhòng)x28代表(，\x29代表)，以上字符串在JavaScript環(huán)境中即為"alert(1)"，內(nèi)容不變，但XSS并不執(zhí)行。

CSSEncode

當(dāng)$var變量出現(xiàn)在<style>標(biāo)簽內(nèi)或其它c(diǎn)ss的執(zhí)行環(huán)境中時(shí)，XSS的注入和防御原理同JavaScript。在此不累述了。
css中xss的注入，在現(xiàn)在的瀏覽器中基本已經(jīng)被禁止了，因此也比較少見。

URLEncode

當(dāng)$var變量出現(xiàn)在url跳轉(zhuǎn)地址中時(shí)，XSS可通過以下方法來進(jìn)行注入，示例如下：

<a >test</a>

若不對$var進(jìn)行任何處理，當(dāng)$var的值為" onclick="alert(1);return false;"時(shí)，代碼如下：

<a  onclick="alert(1);return false;">test</a>

此時(shí)就會阻止了url頁面跳轉(zhuǎn)，實(shí)現(xiàn)了XSS注入。

為了防御這種XSS，可以采用對$var變量進(jìn)行URLEncode的方法。URLEncode的作用是將字符轉(zhuǎn)化為%HH的形式，支持的轉(zhuǎn)換舉例如下：

空格 --> %20
< --> %3c
> --> %3e

以上述的

" onclick="alert(1);return false;"

為例，URLEncode后的結(jié)果如下：

%22%20onclick%3d%22alert%281%29%3breturn%20false%3b%22

原有代碼變?yōu)椋?/p>

<a >test</a>

此時(shí)便阻止了XSS的注入。

如果上述例子改為：

<a href="$var">test</a>

即$var指代了完整的url地址，則可能出現(xiàn)以下兩種情況：

<a href="javascript:alert(1)">test</a>

<a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4=">test2</a>

這兩種代碼都能夠注入XSS，為了防御這些情況，可以先檢測$var中是否包含url的protocol字段，如果沒有，就加上，再對整個(gè)url進(jìn)行URLEncode處理。

結(jié)語

以上是我的一些經(jīng)驗(yàn)與心得，若有不足之處，請予指正。希望這篇文章對你有所幫助^_。