跨站脚本攻击xss的原理是什么？有什么危害？如何防范

xxs攻击原理是网页对用户输入的字符串过滤不严，导致在提交输入信息的时候浏览器执行了黑客嵌入的xxs脚本，致使用户信息泄露。黑客可将伪装过的含义脚本语句的链接发送给受害者，当受害者点击链接的时候，由于网页没有过滤脚本语句，所以浏览器执行了脚本语句，而这个脚本语句的作用是将用户的cookie发送到黑客指定的地址，然后黑客就可以利用受害者的cookie窃取受害者的个人信息等等。这种攻击对服务器没有多大危害，但对用户危害很大，要防范这种攻击应该在设计网站的时候对用户提交的内容进行严格的过滤。

XSS是什么

1、XSS是跨站脚本攻击(Cross Site Scripting)，为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故将跨站脚本攻击缩写为XSS。

2、恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目的。

3、XSS攻击分成两类，一类是来自内部的攻击，主要指的是利用程序自身的漏洞，构造跨站语句，如:dvbbs的showerror.asp存在的跨站漏洞。

4、另一类则是来自外部的攻击，主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当要渗透一个站点，自己构造一个有跨站漏洞的网页，然后构造跨站语句，通过结合其它技术，如社会工程学等，欺骗目标服务器的管理员打开。

xss漏洞如何防御?

1、基于特征的防御。XSS漏洞和著名的SQL注入漏洞一样，都是利用了Web页面的编写不完善，所以每一个漏洞所利用和针对的弱点都不尽相同，这就是给XSS漏洞防御带来的困难，不可能以单一特征来概括所有XSS攻击。

传统的XSS防御在进行攻击鉴别时多采用特征匹配方式，主要是针对JavaScript这个关键词进行检索，但是这种鉴别不够灵活，凡是提交的信息中各有JavaScript时，就被硬性的判定为XSS攻击。

2、基于代码修改的防御。Web页面开发者在编写程序时往往会出现一些失误或漏洞，XSS攻击正是利用了失误和漏洞，因此一种比较理想的 *** 就是通过优化Web应用开发来减少漏洞，避免被攻击：

①用户向服务器上提交的信息要对URL和附带的HTTP头、POST数据等进行查询，对不是规定格式、长度的内容进行过滤。

②实现Session标记、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。

③确认接收的内容被妥善的规范化，仅包含最小的、安全的Tag，去掉任何对远程内容的引用，使用HTTP only的cookie。

3、客户端分层防御策略。客户端跨站脚本攻击的分层防御策略是基于独立分配线程和分层防御策略的安全模型。它建立在客户端，这是它与其他模型更大的区别。之所以客户端安全性如此重要，客户端在接受服务器信息，选择性的执行相关内容。这样就可以使防御XSS攻击变得容易，该模型主要由三大部分组成：

①对每一个网页分配独立线程且分析资源消耗的网页线程分析模块;

②包含分层防御策略四个规则的用户输入分析模块;

③保存互联网上有关XSS恶意网站信息的XSS信息数据库。

如何正确防御xss攻击

XSS攻击通常是指黑客通过"HTML注入"篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。

一、HttpOnly防止劫取Cookie

HttpOnly最早由微软提出，至今已经成为一个标准。浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持，HttpOnly解决是XSS后的Cookie支持攻击。

我们来看下百度有没有使用。

未登录时的Cookie信息

可以看到，所有Cookie都没有设置HttpOnly，现在我登录下

发现在个叫BDUSS的Cookie设置了HttpOnly。可以猜测此Cookie用于认证。

下面我用PHP来实现下：

?php

header("Set-Cookie: cookie1=test1;");

header("Set-Cookie: cookie2=test2;httponly",false);

setcookie('cookie3','test3',NULL,NULL,NULL,NULL,false);

setcookie('cookie4','test4',NULL,NULL,NULL,NULL,true);

script

alert(document.cookie);

/script

js只能读到没有HttpOnly标识的Cookie

二、输入检查

输入检查一般是检查用户输入的数据中是否包含一些特殊字符，如、、'、"等，如果发现存在特殊字符，则将这些字符过滤或者编码。

例如网站注册经常用户名只允许字母和数字的组合，或者邮箱 *** ，我们会在前端用js进行检查，但在服务器端代码必须再次检查一次，因为客户端的检查很容易绕过。

网上有许多开源的“XSS Filter”的实现，但是它们应该选择性的使用，因为它们对特殊字符的过滤可能并非数据的本意。比如一款php的lib_filter类：

$filter = new lib_filter();

echo $filter-go('1+11');

它输出的是1，这大大歪曲了数据的语义，因此什么情况应该对哪些字符进行过滤应该适情况而定。

三、输出检查

大多人都知道输入需要做检查，但却忽略了输出检查。

1、在HTML标签中输出

如代码：

?php

$a = "scriptalert(1);/script";

$b = "img src=# onerror=alert(2) /";

div?=$b?/div

a href="#"?=$a?/a

这样客户端受到xss攻击，解决 *** 就是对变量使用htmlEncode,php中的函数是htmlentities

?php

$a = "scriptalert(1);/script";

$b = "img src=# onerror=alert(2) /";

div?=htmlentities($b)?/div

a href="#"?=htmlentities($a)?/a

2、在HTML属性中输出

div id="div" name ="$var"/div

这种情况防御也是使用htmlEncode

在owasp-php中实现：

$immune_htmlattr = array(',', '.', '-', '_');

$this-htmlEntityCodec-encode($this-immune_htmlattr, "\"script123123;/script\"");

3、在script标签中输出

如代码：

?php

$c = "1;alert(3)";

script type="text/javascript"

var c = ?=$c?;

/script

这样xss又生效了。首先js变量输出一定要在引号内，但是如果我$c = "\"abc;alert(123);//"，你会发现放引号中都没用，自带的函数都不能很好的满足。这时只能使用一个更加严格的JavascriptEncode函数来保证安全——除数字、字母外的所有字符，都使用十六进制"\xHH"的方式进行编码。这里我采用开源的owasp-php *** 来实现

$immune = array("");

echo $this-javascriptCodec-encode($immune, "\"abc;alert(123);//");

最后输出\x22abc\x3Balert\x28123\x29\x3B\x2F\x2F

4、在事件中输出

a href="#" onclick="funcA('$var')" test/a

可能攻击 ***

a href="#" onclick="funcA('');alter(/xss/;//')"test/a

这个其实就是写在script中，所以跟3防御相同

5、在css中输出

在owasp-php中实现：

$immune = array("");

$this-cssCodec-encode($immune, 'background:expression(window.x?0:(alert(/XSS/),window.x=1));');

6、在地址中输出

先确保变量是否是"http"开头，然后再使用js的encodeURI或encodeURIComponent *** 。

在owasp-php中实现：

$instance = ESAPI::getEncoder();

$instance-encodeForURL(‘url’);

四、处理富文体

就像我写这篇博客，我几乎可以随意输入任意字符，插入图片，插入代码，还可以设置样式。这个时要做的就是设置好白名单，严格控制标签。能自定义 css件麻烦事，因此更好使用成熟的开源框架来检查。php可以使用htmlpurify

五、防御DOM Based XSS

DOM Based XSS是从javascript中输出数据到HTML页面里。

script

var x = "$var";

document.write("a href='"+x+"'test/a");

/script

按照三中输出检查用到的防御 *** ，在x赋值时进行编码，但是当document.write输出数据到HTML时，浏览器重新渲染了页面，会将x进行解码，因此这么一来，相当于没有编码，而产生xss。

防御 *** ：首先，还是应该做输出防御编码的，但后面如果是输出到事件或脚本，则要再做一次javascriptEncode编码，如果是输出到HTML内容或属性，则要做一次HTMLEncode。

会触发DOM Based XSS的地方有很多：

document.write()、document.writeln()、xxx.innerHTML=、xxx.outerHTML=、innerHTML.replace、document.attachEvent()、window.attachEvent()、document.location.replace()、document.location.assign()

如何有效防止XSS攻击/AJAX跨域攻击

1，利用字符过滤漏洞，提交恶意js代码，当用户打开页面时执行

2，需要填写图片地址或css等直接在页面加载时执行的地方，填写恶意js [javascript：xxxx]，当用户打开包含图片的页面时，可以执行js。比如GET s1.game.com/fight/:id 表示发兵到某个用户，虽然做了用户验证，但没做来源验证，用户只需将这个地址发到同用户的论坛作为图片地址即可执行

3，通过跳转页面漏洞，比如 refer.php?message=xxxx ，页面上直接用 $_GET['message'] 的话，就会造成xss漏洞，把message的参数换成js代码或恶意网址，即可盗取用户cookie，或执行恶意js，或跳转到钓鱼页面等

4，利用浏览器或服务器0day漏洞

1，XSS主要是你的页面可以运行用户写的js，所以对所有的用户提交的数据进行过滤，对于判断用户是否登录状态的cookie信息进行加密，并且加上Ip信息，这样基本被盗取也无法获取登录权限

2，对update或delete的操作采用post方式提交，每次form里加一个唯一验证字符串，用hiden方式提交，用于服务器验证是否来自用户客户端

3，跳转程序需要对传递的url进行匹配判断，只允许特定的格式

4，时常关注安全方面的消息，一有漏洞即刻不上

xss攻击的危害有哪些？

跨站脚本 ( Cross-Site Scriptin ) 简称xss，是由于Web应用程序对用户的输入过滤不足而产生的.攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端 Javascript脚本)注入到网页之中，当其他用户浏览这些网页时，就会执行其中的恶意代码，对受害用户可能采取 Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。

其危害有：

1、 *** 钓鱼，包括盗取各类用户账号；

2、窃取用户cookies资料，从而获取用户隐私信息，或利用用户身份进一步对网站执行操作；

3、劫持用户(浏览器)会话，从而执行任意操作，例如进行非法转账、强制发表日志、发送电子邮件等；

4、强制弹出广告页面、刷流量等；

5、网页挂马，进行恶意操作，例如任意篡改页面信息、删除文章等；

6、进行大量的客户端攻击，如DDoS攻击；

7、获取客户端信息，例如用户的浏览历史、真实IP、开放端口等；

8、控制受害者机器向其他网站发起攻击；

9、结合其他漏洞，如CSRF漏洞，进一步入侵和破坏系统；

10、提升用户权限，包括进一步渗透网站；

11、传播跨站脚本蠕虫等；

IE8中xss筛选器禁用后会有什么后果

从IE8开始就有XSS筛选器，主要用于防御反射型跨站攻击，且是默认开启的。但由于它那暴力的检测方式(正则匹配)经常会影响到网站的正常业务功能，我想受此困扰的人一定不少，所以我建议大家都把它给关了。

如果是站长请使用X-XSS-Protection响应头关闭:

X-XSS-Protection: 0;

X-XSS-Protection 是用于控制IE的XSS筛选器用的HTTP 响应字段头。

如果你没有权利更改网站设置，那么你可以:

打开IE-菜单栏-安全-Internet-自定义级别-脚本-启用XSS筛选器-关闭-确定.