XSS攻击
XSS(cross-site scripting) 跨站脚本攻击,是一种代码注入攻击。攻击者通过在目标网站上注入恶意代码,使之在用户的浏览器上运行。根据攻击的来源,XSS攻击可分为存储型、反射型和DOM型三种,攻击来源可能包含来自用户的 UGC 信息、来自第三方的链接、URL 参数、POST 参数、Referer (可能来自不可信的来源)、Cookie (可能来自其他子域注入)
存储型XSS
- 攻击者将恶意代码提交到目标网站的数据库中
- 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在HTML重返回浏览器
- 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行
- 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作
存储型XSS攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等。
反射型XSS
- 攻击者构造出特殊的URL,其中包含恶意代码
- 用户打开带有恶意代码的URL时,网站服务端将恶意代码从URL中取出,拼接在HTML中返回给浏览器
- 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行
- 恶意代码窃取用户数据并发送到攻击者网站,或者冒充用户行为,调用目标网站接口执行攻击者指定的操作
反射型XSS攻击常见于通过URL传递参数的功能,如网站搜索、跳转等,由需要用户主动打开恶意的URL才能生效,攻击者往往会结合多种手段诱导用户点击。POST的内容也可以触发反射型XSS,触发条件比较苛刻(需要构造表单提交页面,并引导用户点击)
存储型XSS于反射型XSS的区别是:存储型XSS的恶意代码存在数据库里,反射型XSS的恶意代码存在URL里
DOM型XSS
- 攻击者构造出特殊的URL,其中包含恶意代码
- 用户打开带有恶意代码的URL
- 用户浏览器接收到响应后解析执行,前端js取出URL中的恶意代码并执行
- 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。
DOM型XSS跟前两种XSS的区别,DOM型XSS攻击中,取出和执行恶意代码由浏览器端完成,属于前端js自身的安全漏洞,其他两种XSS属于服务端的安全漏洞
预防XSS
-
存储型和反射型XSS都是在服务端取出恶意代码后,插入到响应HTML里的,服务端返回数据时对HTML做充分转义
为什么转义可以预防xss,xss的本质是让浏览器执行不被预期执行的脚本,html中出现<>时,浏览器会把他当成一个标签,或者标签不合法时,会引起解析错误,因此需要对特殊字符进行转义,浏览器在输入这些转义后的字符时,会进行一次解码,比如在浏览器输入 < 时,会被解码成 <,被解码后的字符串会被当做文本处理,不会被浏览器解析。
-
使用CSP作为预防XSS攻击的一种方式
-- 禁止加载外域代码,防止复杂的攻击逻辑
-- 禁止外域提交,网站被攻击后,用户的数据不会泄露到外域
-- 禁止内联脚本执行
-- 禁止未授权的脚本执行 - http-only cookie 禁止js读取某些敏感cookie,攻击者完成xss注入后也无法窃取此cookie
- 验证码:防止脚本冒充用户提交危险操作
- 针对 dom型xss,使用.innerHTML、.outerHTML、document.write() 时避免将不可信数据作为html插入页面中,尽量使用 .textContent、.setAttribute() ,DOM 中的内联事件监听器,如 location、onclick、onerror、onload、onmouseover 等,<a> 标签的 href 属性,JavaScript 的 eval()、setTimeout()、setInterval() 等,都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些 API,很容易产生安全隐患。
CSRF 攻击
跨站请求伪造(Cross-Site Request Forgery),攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击者发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击网站执行某项操作的目的。
攻击流程:
- 受害者登录a.com,并保留登录凭证 (cookie)
- 攻击者引诱受害者访问b.com
- b.com向a.com向a.com发起请求,浏览器会默认携带a.com的cookie
- a.com接收到请求后,对请求进行验证,确认是受害者的凭证,误以为是受害者自己发送的请求
- a.con以受害者的名义执行了请求操作
攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作。
cookie是无法跨域的,为什么会有csrf攻击?
浏览器会依据加载的域名附带上对应域名的cookie,如果用户在a网站登录并生成了授权的cookie,然后访问b网站,b网站构造a网站的请求,如删除操作,用script标签或img或iframe加载着a网站的地址,浏览器会附带上a站此登陆用户的授权信息,构成csrf
相同的document.domain
页面共享cookie,其他情况下在会受同源策略的限制,而script
,image
,iframe
的src
都不受同源策略的影响,可以借助这一特点实现跨域。即用户在a网站登录且生成了授权的cookies,然后访问b网站,b网站构造a站的请求,如删除操作,用script
,img
或者iframe
加载着a站的地址,浏览器会附带上a站此登录用户的授权cookie信息,这样就构成csrf。
防御
提交时附加本域才能获得的信息
- 同源检测,禁止不受信任域名发起请求。HTTP协议中,请求中会携带两个Header用于标记来源域名:Orgin与Refefer,服务端可以通过解析这两个Hedaer中的域名,确定请求的来源域。在IE11及302重定向之后的请求无法获取orgin。对于Ajax请求,图片和script等资源请求,refefer为发起请求的页面地址,对于页面跳转,refefer为打开页面记录的前一个页面地址。
- samesite cookie 作为cookie属性之一,声明是否将cookie限制为第一方或者同一站点上下文。用于设置Cookies只会在第一方上下文中发送,不会与第三方网站发起的请求一起发送。
- 验证码,CSRF攻击过程中,用户在不知情的情况下构造了网络请求,添加验证码后,强制用户必须与应用交互。
- token验证,浏览器请求页面时由服务端随机生成token并随页面返回,发起其他请求时,header中带上token,服务端比对成功后再响应请求并生成新token返回。