经典面试题:xss攻击和防御

Posted chinait

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了经典面试题:xss攻击和防御相关的知识,希望对你有一定的参考价值。

XSS 分为三种:反射型,存储型和 DOM-based

如何攻击

XSS 通过修改 html 节点或者执行 JS 代码来攻击网站。

例如通过 URL 获取某些参数

<!-- http://www.domain.com?name=<script>alert(1)</script> -->
<div>{{name}}</div>

上述 URL 输入可能会将 HTML 改为 <div><script>alert(1)</script></div> ,这样页面中就凭空多了一段可执行脚本。这种攻击类型是反射型攻击,也可以说是 DOM-based 攻击。

也有另一种场景,比如写了一篇包含攻击代码 <script>alert(1)</script> 的文章,那么可能浏览文章的用户都会被攻击到。这种攻击类型是存储型攻击,也可以说是 DOM-based 攻击,并且这种攻击打击面更广。

如何防御

最普遍的做法是转义输入输出的内容,对于引号,尖括号,斜杠进行转义

function escape(str) {
  str = str.replace(/&/g, ‘&amp;‘)
  str = str.replace(/</g, ‘&lt;‘)
  str = str.replace(/>/g, ‘&gt;‘)
  str = str.replace(/"/g, ‘&quto;‘)
  str = str.replace(/‘/g, ‘&#39;‘)
  str = str.replace(/`/g, ‘&#96;‘)
  str = str.replace(/\//g, ‘&#x2F;‘)
  return str
}

通过转义可以将攻击代码 <script>alert(1)</script> 变成

// -> &lt;script&gt;alert(1)&lt;&#x2F;script&gt;
escape(‘<script>alert(1)</script>‘)

对于显示副文本来说,不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉。这种情况通常采用白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到需要过滤的标签和标签属性实在太多,更加推荐使用白名单的方式。

var xss = require(‘xss‘)
var html = xss(‘<h1 id="title">XSS Demo</h1><script>alert("xss");</script>‘)
// -> <h1>XSS Demo</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
console.log(html)

以上示例使用了 js-xss 来实现。可以看到在输出中保留了 h1 标签且过滤了 script 标签

以上是关于经典面试题:xss攻击和防御的主要内容,如果未能解决你的问题,请参考以下文章

前端面试题之浏览器原理篇

通过脚本片段绕过XSS防御

安全经典面试题总结-史上最全面试题思维导图总结(2022最新版)

js面试题-----安全类

如何正确防御xss攻击

XSS攻击的定义,类型以及防御方法?