解析如何防止XSS跨站脚本攻击

核心提示： 本文列出了最常见的插槽位置和安全放置数据的规则，基于各种不同的要求、已知的XSS载体和对流行浏览器的大量手动测试，解析如何防止XSS跨站脚本攻击(4)，我们保证本文提出的规则都是安全的，定义好插槽位置，这样做的理由是在理列有解码规则的HTML中有很多奇怪的context，让事情变得很复杂，

本文列出了最常见的插槽位置和安全放置数据的规则，基于各种不同的要求、已知的XSS载体和对流行浏览器的大量手动测试，我们保证本文提出的规则都是安全的。

定义好插槽位置，开发者们在放置任何数据前，都应该仔细分析以确保安全性。浏览器解析是非常棘手的，因为很多看起来无关紧要的字符可能起着重要作用。

为什么不能对所有不可信数据进行HTML实体编码?

可以对放入HTML文档正文的不可行数据进行HTML实体编码，如<div>标签内。也可以对进入属性的不可行数据进行实体编码，尤其是当属性中使用引用符号时。但是HTML实体编码并不总是有效，例如将不可信数据放入<script>标签、事件处理器(如onmouseover) 、CSS内部或URL内等。即使你在每个位置都使用HTML实体编码的方法，仍然不能抵御跨站脚本攻击。对于放入不可信数据的HTML文档部分，必须使用escape语法，这也是下面即将讨论的问题。

你需要一个安全编码库

编写编码器并不是非常难，不过也有不少隐藏的陷阱。例如，你可能会使用一下解码捷径(JavaScsript 中的")，但是，这些很容易被浏览器中的嵌套解析器误解，应该使用一个安全的专门解码库以确保这些规则能够正确执行。

XSS防御规则

下列规则旨在防止所有发生在应用程序的XSS攻击，虽然这些规则不允许任意向HTML文档放入不可信数据，不过基本上也涵盖了绝大多数常见的情况。你不需要采用所有规则，很多企业可能会发现第一条和第二条就已经足以满足需求了。请根据自己的需求选择规则。

No.1 – 不要在允许位置插入不可信数据

第一条规则就是拒绝所有数据，不要将不可信数据放入HTML文档，除非是下列定义的插槽。这样做的理由是在理列有解码规则的HTML中有很多奇怪的context，让事情变得很复杂，因此没有理由将不可信数据放在这些context中。