看了大牛的XSS预防的视频教程,这里作为学习笔记记录一下心得。
XSS是指跨站脚本攻击,一般形式为:用户通过输入非法内容,使系统进行不该发生的操作。
XSS的类型有反射性和存储型。反射性指程序通过url取参时得到非法参数进行调用,存储型指非法内容保存到数据库中,系统从数据库中获取到用户输入的非法内容进行调用。相对而言,存储型XSS可能造成的危害会更大。
XSS经常出现的地方:1.元素内容,如果元素待显示的内容中含有可执行js代码段,在页面被渲染时该代码段会被当做可执行代码执行,将会产生不可预知的后果;2.元素属性,与元素内容相似,只是这里是对元素属性进行攻击,可以通过携带含有“"”的参数将元素属性标签提前关闭,然后后续内容通过绑定事件等方式攻击;3.js代码段,一般为存储型XSS,指在执行系统js代码的时候使用了用户输入内容,可能会形成XSS攻击;4.富文本,富文本保存的本来就是html代码段,对于这类内容,插入一段js进行攻击,很容易也隐蔽,预防起来也比较麻烦。
XSS预防一般策略:1.对“<”、“>”进行转义;2.对“"”、“'”进行转义;3.用户输入内容使用前进行JSON转义;4.进行过滤(分为黑名单和白名单两种);
浏览器默认会拦截元素内容和元素属性出现的反射性xss; cheerio:解析html代码段的库,返回类似jq的对象,用于白名单过滤时获取html结构; xss:一个库,优化js代码段xss攻击的第三方库; CSP:内容安全策略,指定哪些内容是可执行的;
