XSS、CSRF原理及防御——让受害者无法感知的漏洞-CFANZ编程社区

XSS、CSRF原理及防御——让受害者无法感知的漏洞_字符串

1. XSS是什么

Cross-Site Scripting（跨站脚本【gongji】）简称 XSS，是一种代码注入【gongji】。测试者通过在目标网站上注入恶意脚本，使之在用户的浏览器上运行。利用这些恶意脚本，测试者可获取用户的敏感信息如 Cookie、SessionID 等

XSS 常见的注入方法：

在 HTML 中，恶意内容以 script 标签形成注入。
在标签的 href、src 等属性中，包含 javascript: (伪协议)等可执行代码。
onload、onerror、onclick 等事件中，注入不受控制代码。
在 style 属性和标签中，包含类似 background-image:url(“javascript:…”); 的代码（新版本浏览器已经可以防范）。

2. XSS的分类

存储型、反射型和 DOM 型三种

存储型 XSS(持久型)

测试者将恶意代码提交到目标网站的数据库中。

用户打开目标网站时，网站服务端将恶意代码从数据库取出，拼接在 HTML 中返回给浏览器。

用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行。

恶意代码窃取用户数据并发送到测试者的网站，或者冒充用户的行为，调用目标网站接口执行测试者指定的操作。

常见于带有用户保存数据的网站功能，如论坛发帖、商品评论、用户私信等。

反射型 XSS

测试者构造出特殊的URL，其中包含恶意代码。

用户打开带有恶意代码的 URL 时，网站服务端将恶意代码从 URL 中取出，拼接在 HTML 中返回给浏览器。

用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行。

恶意代码窃取用户数据并发送到测试者的网站，或者冒充用户的行为，调用目标网站接口执行测试者指定的操作。

反射型 XSS 跟存储型 XSS 的区别是：存储型 XSS 的恶意代码存在数据库里，反射型 XSS 的恶意代码存在 URL 里。

DOM 型 XSS

测试者构造出特殊的 URL，其中包含恶意代码。

用户打开带有恶意代码的 URL。

用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行。

恶意代码窃取用户数据并发送到测试者的网站，或者冒充用户的行为，调用目标网站接口执行测试者指定的操作。

DOM 型 XSS 跟前两种 XSS 的区别： DOM 型 XSS 测试中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞，而其他两种 XSS 都属于服务端的安全漏洞。

3. 常用防范方法

httpOnly: 在 cookie 中设置 HttpOnly 属性后，js脚本将无法读取到 cookie 信息。

输入过滤: 一般是用于对于输入格式的检查，例如：邮箱，电话号码，用户名，密码……等，按照规定的格式输入。

编码: 将特殊字符（如<等）转换为HTML实体

限制长度: 一般xss测试要能达成往往需要较长的字符串，因此对于一些可预期的输入，可以通过限制长度强制截断来进行防御。

DOM 中的内联事件监听器，如 location、onclick、onerror、onload、onmouseover 等，a 标签的 href 属性，JavaScript 的 eval（)、setTimeout()、setInterval() 等，都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些 API，很容易产生安全隐患，请务必避免。

CSRF是什么

XSS、CSRF原理及防御——让受害者无法感知的漏洞_字符串_02

跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的测试方法。如:测试者诱导受害者进入第三方网站，在第三方网站中，向被测试网站发送跨站请求。利用受害者在被测试网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被测试的网站执行某项操作的目的。

CSRF与 XSS 区别

通常来说 CSRF 是由 XSS 实现的，CSRF 时常也被称为 XSRF（CSRF 实现的方式还可以是直接通过命令行发起请求等）。

本质上讲，XSS 是代码注入问题，CSRF 是 HTTP 问题。 XSS 是内容没有过滤导致浏览器将测试者的输入当代码执行。CSRF 则是因为浏览器在发送 HTTP 请求时候自动带上 cookie，而一般网站的 session 都存在 cookie里面(Token验证可以避免)。

5. CSRF防御

验证码：强制用户必须与应用进行交互，才能完成最终请求。此种方式能很好的遏制 csrf，但是用户体验比较差。

Referer check：请求来源限制，此种方法成本最低，但是并不能保证 100% 有效，因为服务器并不是什么时候都能取到 Referer，而且低版本的浏览器存在伪造 Referer 的风险。

token： token 验证的 CSRF 防御机制是公认最合适的方案。若网站同时存在 XSS 漏洞的时候，这个方法也是空谈。