前端安全系列：如何防止XSS攻击？

DOM 中的内联事件监听器，如 location、onclick、onerror、onload、onmouseover 等，<a> 标签的 href 属性，JavaScript 的 eval()、setTimeout()、setInterval() 等，都能把字符串作为代码运行。如果不可信的数据拼接到字符串中传递给这些 API，很容易产生安全隐患，请务必避免。

<!-- 内联事件监听器中包含恶意代码 -->  
<img onclick="UNTRUSTED" onerror="UNTRUSTED" src="data:image/png,">  
<!-- 链接内包含恶意代码 -->  
<a href="UNTRUSTED">1</a>  
<script>  
// setTimeout()/setInterval() 中调用恶意代码  
setTimeout("UNTRUSTED")  
setInterval("UNTRUSTED")  
// location 调用恶意代码  
location.href = 'UNTRUSTED'  
// eval() 中调用恶意代码  
eval("UNTRUSTED")  
</script> 

如果项目中有用到这些的话，一定要避免在字符串中拼接不可信数据。

其他 XSS 防范措施

虽然在渲染页面和执行 JavaScript 时，通过谨慎的转义可以防止 XSS 的发生，但完全依靠开发的谨慎仍然是不够的。以下介绍一些通用的方案，可以降低 XSS 带来的风险和后果。

Content Security Policy

严格的 CSP 在 XSS 的防范中可以起到以下的作用：

•  禁止加载外域代码，防止复杂的攻击逻辑。
•  禁止外域提交，网站被攻击后，用户的数据不会泄露到外域。
•  禁止内联脚本执行（规则较严格，目前发现 GitHub 使用）。
•  禁止未授权的脚本执行（新特性，Google Map 移动版在使用）。
•  合理使用上报可以及时发现 XSS，利于尽快修复问题。

关于 CSP 的详情，请关注前端安全系列后续的文章。

输入内容长度控制

对于不受信任的输入，都应该限定一个合理的长度。虽然无法完全防止 XSS 发生，但可以增加 XSS 攻击的难度。

其他安全措施

•  HTTP-only Cookie: 禁止 JavaScript 读取某些敏感 Cookie，攻击者完成 XSS 注入后也无法窃取此 Cookie。
•  验证码：防止脚本冒充用户提交危险操作。

XSS 的检测

上述经历让小明收获颇丰，他也学会了如何去预防和修复 XSS 漏洞，在日常开发中也具备了相关的安全意识。但对于已经上线的代码，如何去检测其中有没有 XSS 漏洞呢？

经过一番搜索，小明找到了两个方法：

1.  使用通用 XSS 攻击字符串手动检测 XSS 漏洞。
2.  使用扫描工具自动检测 XSS 漏洞。

（编辑：PHP编程网 - 湛江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!