前端安全之XSS与CSRF

XSS攻击

XSS(cross-site scripting) 跨站脚本攻击,是一种代码注入攻击。攻击者通过在目标网站上注入恶意代码,使之在用户的浏览器上运行。根据攻击的来源,XSS攻击可分为存储型、反射型和DOM型三种,攻击来源可能包含来自用户的 UGC 信息、来自第三方的链接、URL 参数、POST 参数、Referer (可能来自不可信的来源)、Cookie (可能来自其他子域注入)

存储型XSS

  • 攻击者将恶意代码提交到目标网站的数据库中
  • 用户打开目标网站时,网站服务端将恶意代码从数据库取出,拼接在HTML重返回浏览器
  • 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作

存储型XSS攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等。

反射型XSS

  • 攻击者构造出特殊的URL,其中包含恶意代码
  • 用户打开带有恶意代码的URL时,网站服务端将恶意代码从URL中取出,拼接在HTML中返回给浏览器
  • 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行
  • 恶意代码窃取用户数据并发送到攻击者网站,或者冒充用户行为,调用目标网站接口执行攻击者指定的操作

反射型XSS攻击常见于通过URL传递参数的功能,如网站搜索、跳转等,由需要用户主动打开恶意的URL才能生效,攻击者往往会结合多种手段诱导用户点击。POST的内容也可以触发反射型XSS,触发条件比较苛刻(需要构造表单提交页面,并引导用户点击)

存储型XSS于反射型XSS的区别是:存储型XSS的恶意代码存在数据库里,反射型XSS的恶意代码存在URL里

DOM型XSS

  • 攻击者构造出特殊的URL,其中包含恶意代码
  • 用户打开带有恶意代码的URL
  • 用户浏览器接收到响应后解析执行,前端js取出URL中的恶意代码并执行
  • 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

DOM型XSS跟前两种XSS的区别,DOM型XSS攻击中,取出和执行恶意代码由浏览器端完成,属于前端js自身的安全漏洞,其他两种XSS属于服务端的安全漏洞

预防XSS

  • 存储型和反射型XSS都是在服务端取出恶意代码后,插入到响应HTML里的,服务端返回数据时对HTML做充分转义
    为什么转义可以预防xss,xss的本质是让浏览器执行不被预期执行的脚本,html中出现<>时,浏览器会把他当成一个标签,或者标签不合法时,会引起解析错误,因此需要对特殊字符进行转义,浏览器在输入这些转义后的字符时,会进行一次解码,比如在浏览器输入 &lt 时,会被解码成 <,被解码后的字符串会被当做文本处理,不会被浏览器解析。
  • 使用CSP作为预防XSS攻击的一种方式
    -- 禁止加载外域代码,防止复杂的攻击逻辑
    -- 禁止外域提交,网站被攻击后,用户的数据不会泄露到外域
    -- 禁止内联脚本执行
    -- 禁止未授权的脚本执行
  • http-only cookie 禁止js读取某些敏感cookie,攻击者完成xss注入后也无法窃取此cookie
  • 验证码:防止脚本冒充用户提交危险操作
  • 针对 dom型xss,使用.innerHTML、.outerHTML、document.write() 时避免将不可信数据作为html插入页面中,尽量使用 .textContent、.setAttribute() ,DOM 中的内联事件监听器,如 location、onclick、onerror、onload、onmouseover 等,<a> 标签的 href 属性,JavaScript 的 eval()、setTimeout()、setInterval() 等,都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些 API,很容易产生安全隐患。

如何防止XSS攻击

CSRF 攻击

跨站请求伪造(Cross-Site Request Forgery),攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击者发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击网站执行某项操作的目的。

攻击流程:

  • 受害者登录a.com,并保留登录凭证 (cookie)
  • 攻击者引诱受害者访问b.com
  • b.com向a.com向a.com发起请求,浏览器会默认携带a.com的cookie
  • a.com接收到请求后,对请求进行验证,确认是受害者的凭证,误以为是受害者自己发送的请求
  • a.con以受害者的名义执行了请求操作
    攻击完成,攻击者在受害者不知情的情况下,冒充受害者,让a.com执行了自己定义的操作。

cookie是无法跨域的,为什么会有csrf攻击?
浏览器会依据加载的域名附带上对应域名的cookie,如果用户在a网站登录并生成了授权的cookie,然后访问b网站,b网站构造a网站的请求,如删除操作,用script标签或img或iframe加载着a网站的地址,浏览器会附带上a站此登陆用户的授权信息,构成csrf
相同的document.domain页面共享cookie,其他情况下在会受同源策略的限制,而scriptimageiframesrc都不受同源策略的影响,可以借助这一特点实现跨域。即用户在a网站登录且生成了授权的cookies,然后访问b网站,b网站构造a站的请求,如删除操作,用script, img或者iframe加载着a站的地址,浏览器会附带上a站此登录用户的授权cookie信息,这样就构成csrf。

防御

提交时附加本域才能获得的信息

  • 同源检测,禁止不受信任域名发起请求。HTTP协议中,请求中会携带两个Header用于标记来源域名:Orgin与Refefer,服务端可以通过解析这两个Hedaer中的域名,确定请求的来源域。在IE11及302重定向之后的请求无法获取orgin。对于Ajax请求,图片和script等资源请求,refefer为发起请求的页面地址,对于页面跳转,refefer为打开页面记录的前一个页面地址。
  • samesite cookie 作为cookie属性之一,声明是否将cookie限制为第一方或者同一站点上下文。用于设置Cookies只会在第一方上下文中发送,不会与第三方网站发起的请求一起发送。
  • 验证码,CSRF攻击过程中,用户在不知情的情况下构造了网络请求,添加验证码后,强制用户必须与应用交互。
  • token验证,浏览器请求页面时由服务端随机生成token并随页面返回,发起其他请求时,header中带上token,服务端比对成功后再响应请求并生成新token返回。

如何防止CSRF攻击
XSS基础——浏览器自解码机制

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 201,312评论 5 473
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,578评论 2 377
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 148,337评论 0 333
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,134评论 1 272
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,161评论 5 363
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,303评论 1 280
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,761评论 3 393
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,421评论 0 256
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,609评论 1 295
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,450评论 2 317
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,504评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,194评论 3 318
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,760评论 3 303
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,836评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,066评论 1 257
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,612评论 2 348
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,178评论 2 341

推荐阅读更多精彩内容

  • XSS: Cross Site Script(跨站脚本攻击) 概念: XSS攻击通过对网页注入可执行代码且成功地...
    oo高学吟阅读 223评论 0 0
  • XSS攻击 什么是 XSS Cross-Site Scripting (跨站脚本攻击)简称XSS,是一种代码注入攻...
    CodeMT阅读 1,246评论 0 4
  • 一. XSS 概念:全称为Cross Site Scripting,即跨站脚本,发生在目标网站中的目标用户的浏览器...
    LOVE小狼阅读 482评论 0 0
  • 前端的安全攻击主要有4种类型:XSS, CSRF,SQL Injection,Client-state manip...
    NANAISNANA阅读 1,387评论 2 1
  • 久违的晴天,家长会。 家长大会开好到教室时,离放学已经没多少时间了。班主任说已经安排了三个家长分享经验。 放学铃声...
    飘雪儿5阅读 7,458评论 16 22