XSS攻击的理解和总结

xss跨站脚本攻击（Cross Site Scripting）的危害

• 盗取各类用户账号，如用户网银账号、各类管理员账号
• 盗窃企业重要的具有商业价值的资料
• 非法转账
• 控制受害者机器向其他网站发起攻击、注入木马等等
  如图反射型XSS
  

XSS的类型

持久型XSS

• 也叫存储型XSS——主动提交恶意数据到服务器，攻击者在数据中嵌入代码，这样当其他用户请求后，服务器从数据库中查询数据并发给用户，用户浏览此类页面时就可能受到攻击。可以描述为:恶意用户的HTML或JS输入服务器->进入数据库->服务器响应时查询数据库->用户浏览器。

反射型XSS

• 反射性XSS，也就是被动的非持久性XSS。诱骗用户点击URL带攻击代码的链接，服务器解析后响应，在返回的响应内容中隐藏和嵌入攻击者的XSS代码，被浏览器执行，从而攻击用户。URL可能被用户怀疑，但是可以通过短网址服务将之缩短，从而隐藏自己。

DOM-based XSS

• 基于DOM的XSS，通过对具体DOM代码进行分析，根据实际情况构造dom节点进行XSS跨站脚本攻击。注：domxss取决于输出位置，并不取决于输出环境，因此domxss既有可能是反射型的，也有可能是存储型的。dom-based与非dom-based，反射和存储是两个不同的分类标准。

xss攻击防护

• 记住一句至理名言——“所有用户输入都是不可信的。”（注意: 攻击代码不一定在<script></script>中）
• 首先代码里对用户输入的地方和变量都需要仔细检查长度和对<>;'等字符做过滤
• 避免直接在cookie中泄漏用户隐私，例如email、密码等
• 通过使cookie和系统ip绑定来降低cookie泄漏后的危险
• 尽量采用POST而非GET提交表单

使用XSS Filter

• 输入过滤，对用户提交的数据进行有效性验证，仅接受指定长度范围内并符合我们期望格式的的内容提交，阻止或者忽略除此外的其他任何数据。
• 输出转义，当需要将一个字符串输出到Web网页时，同时又不确定这个字符串中是否包括XSS特殊字符，为了确保输出内容的完整性和正确性，输出HTML属性时可以使用HTML转义编码（HTMLEncode）进行处理，输出到<script>中，可以进行JS编码。

使用 HttpOnly Cookie

• 将重要的cookie标记为httponly，这样的话当浏览器向Web服务器发起请求的时就会带上cookie字段，但是在js脚本中却不能访问这个cookie，这样就避免了XSS攻击利用JavaScript的document.cookie获取cookie。

作者：沐雨一橙风
链接：https://www.imooc.com/article/13553