• 攻擊的目的
  • 取得在線敏感數(shù)據(jù)和敏感操作
  • 利用客戶的瀏覽器
  • 執(zhí)行js做提交或者取得cookie認證
• 本質(zhì)
  • 取得認證：Cookie
    • 影響Cookie認證信息的幾個重要屬性
      • Domain：向哪些域發(fā)送本cookie
      • Path：向哪些路徑發(fā)送本cookie
      • Secure：向非ssl服務發(fā)送本cookie
      • Httponly：利用javascript獲取本cookie
      • P3p：當頁面作為iframe等html標簽嵌入時，ie是否接受并且發(fā)送本cookie
    • 影響客戶端發(fā)送或者獲取數(shù)據(jù)的Domain同源策略
      • 客戶端腳本的安全性標準
      • 同協(xié)議，同域名，同端口
  • 取得操作數(shù)據(jù)的權(quán)限：ajax/csrf
  • P3p
• 應對方案
  • 從架構(gòu)上解決問題
    • 設計時需要考慮的
      • 我們的Cookie認證信息真的需要設置到整個域么
      • 不同安全級別的服務可以放到一個域下么
      • 前臺和后臺在安全等級上是分開的，真的分開了么
      • 我們重要的業(yè)務真的已經(jīng)獨立開來了么
    • 解決
      • 認證cookie和應用程序cookie獨立開（保護認證）
      • Httponly(放到哪個域名)
      • 應用程序后臺敏感操作和前臺操作域名獨立（同源策略）
      • 慎用p3p
  • XSS防御方案
    • 過濾輸入中的特殊符號
    • 區(qū)分富文本和非富文本，encode非富文本
    • 對富文本開始做語法樹分析
    • 加強表單驗證
    • ……
  • 從設計上解決問題
    • 信任域的劃分是安全設計的基礎
    • 訪問控制系統(tǒng)是安全設計的核心
    • 數(shù)據(jù)與代碼分離是安全設計的表現(xiàn)
    • 白名單與不可預測性是安全設計的保障

炒雞辣雞原創(chuàng)文章，轉(zhuǎn)載請注明來源