解析如何防止XSS跨站脚本攻击
2009-02-12 13:55:30 来源:WEB开发网本文列出了最常见的插槽位置和安全放置数据的规则,基于各种不同的要求、已知的XSS载体和对流行浏览器的大量手动测试,我们保证本文提出的规则都是安全的。
定义好插槽位置,开发者们在放置任何数据前,都应该仔细分析以确保安全性。浏览器解析是非常棘手的,因为很多看起来无关紧要的字符可能起着重要作用。
为什么不能对所有不可信数据进行HTML实体编码?
可以对放入HTML文档正文的不可行数据进行HTML实体编码,如<div>标签内。也可以对进入属性的不可行数据进行实体编码,尤其是当属性中使用引用符号时。但是HTML实体编码并不总是有效,例如将不可信数据放入<script>标签、事件处理器(如onmouseover) 、CSS内部或URL内等。即使你在每个位置都使用HTML实体编码的方法,仍然不能抵御跨站脚本攻击。对于放入不可信数据的HTML文档部分,必须使用escape语法,这也是下面即将讨论的问题。
你需要一个安全编码库
编写编码器并不是非常难,不过也有不少隐藏的陷阱。例如,你可能会使用一下解码捷径(JavaScsript 中的"),但是,这些很容易被浏览器中的嵌套解析器误解,应该使用一个安全的专门解码库以确保这些规则能够正确执行。
XSS防御规则
下列规则旨在防止所有发生在应用程序的XSS攻击,虽然这些规则不允许任意向HTML文档放入不可信数据,不过基本上也涵盖了绝大多数常见的情况。你不需要采用所有规则,很多企业可能会发现第一条和第二条就已经足以满足需求了。请根据自己的需求选择规则。
No.1 – 不要在允许位置插入不可信数据
第一条规则就是拒绝所有数据,不要将不可信数据放入HTML文档,除非是下列定义的插槽。这样做的理由是在理列有解码规则的HTML中有很多奇怪的context,让事情变得很复杂,因此没有理由将不可信数据放在这些context中。
赞助商链接