常见的XSS 注入攻击方式及预防

前端开发常见的安全问题就是会遭受 XSS 注入攻击，这里列举常见的代码注入方式。

Javascript 代码注入

Javascript 代码注入主要表现为直接引用未经校验的字符串、解析不安全的 JSON 数据（包括 JSONP）等。

很多时候会写这样的代码

document.write(‘u name is’ + name);

这就会形成一定的安全性问题（如果服务器端没有过滤的话），比如 name 为下面的数据，在没有经过过滤时

‘;alert(‘xss’);//

“;alert(‘xss’);//

”;!–“<xss>=&{()}

就会破坏原有代码结构，插入不期望的代码。

HTML 标签注入

HTML 注入是较为常见的一种方式，主要的注入入口为不周全的正则过滤、内联样式（针对 Exploer），下面是常见的注入代码

逃过不周全的正则过滤，解决方案为使用 PHP 的 htmlspecialchars 以及 htmlentities 等类似函数转义。

</script>

<<script>alert(“xss”);//<</script>

<script>a=/xss/

alert(a.source)</script>

从图片标签中注入，在些论坛上比较常见

<img “””><script>alert(“xss”)</script>”>

从连接标签上注入（虽然本人没有发现过案例，不过也不能轻视）

其他容易注入的地方

先摘记举例那么多，下期的内容包括“CSS 注入”、“其他注入方法”以及一般性解决方案，欢迎探讨和纠正。

接上一期，这里主要考虑 CSS 注入的方式。CSS 注入主要为背景图注入和针对 Exploer 的 CSS Expression 注入。

考虑没有完全将样式过滤的情况，下面的代码即有可能成为攻击代码

上面的是针对 Exploer 的 htc 注入，htc 可以认为是个脚本。

谁会知道 xss.jpg 是什么内容呢？不过很多站点统计代码也是使用了这一原理。

exp/*<A style=’noxss:noxss(“*//*”);xss:ex/*xss*//*/*/pression(alert(“xss”))’>

针对 Exploer 的 Expression 要保持“淡定”，最好的做法就是过滤 style 属性。

如果没有将注释完全过滤充分，则又会在 Exploer 出现典型的注入漏洞

<!–[if gte IE 4]>

<![endif]–>

安全性问题，这个时候我反而感谢 Exploer 提供那么多的“机会”。

— Split —

那么如何预防 XSS 注入？主要还是需要在用户数据过滤方面得考虑周全，在这里不完全总结下几个 Tips

1. 假定所有的用户输入数据都是“邪恶”的

2. 弱类型的脚本语言必须保证类型和期望的一致

3. 考虑周全的正则表达式

4. strip_tags、htmlspecialchars 这类函数很好用

5. 外部的 Javascript 不一定就是可靠的

6. 引号过滤必须要重点注意

7. 除去不必要的 HTML 注释

8. Exploer 求你放过我吧……