web安全之XSS
一、浏览器安全
创新互联公司成立于2013年,我们提供高端重庆网站建设、网站制作、网站设计、网站定制、成都全网营销推广、小程序开发、微信公众号开发、seo优化排名服务,提供专业营销思路、内容策划、视觉设计、程序开发来完成项目落地,为火锅店设计企业提供源源不断的流量和订单咨询。
1、同源策略(SOP)
在浏览器中,;
再查看源码:
; |
2.1.2、存储型XSS
***会把用户的数据存储在服务器端。
比较常见的场景是:***写了一篇包含有恶意JavaScript代码的博客文章,只要用户访问改文章,就会在他们的浏览器中执行这段恶意代码,***会把恶意代码保存到服务器端。所以这种方式也叫持久型XSS(Persistent XSS)。
2.1.3、DOM Based XSS
通过修改页面的DOM节点形成XSS,称之为DOM Based XSS
代码如例:
id = "t" type="text" id="text" value="" /> type="button" id="s" value="write" /> |
正常构造数据,www.a.com。
点击write按钮:页面显示www.a.com链接
非正常构造如下数据:
' onclick=alert(/xss/) // |
点击write按钮,页面显示testlink,点击testlink,弹出/xss/警告框
这里首先一个单引号闭合掉href第一个单引号,然后插入一个onclick事件,最后再用注释符注释掉第一个单引号。
这段代码也可以通过闭合掉的方式***:
'><' |
<' '>testlink |
设置cookie httponly标记,可以禁止JavaScript访问带有该属性的cookie,目前主流的浏览器已经支持HttpOnly
XSS***主要发生在MVC架构的view层,大部分的XSS漏洞可以在模板系统中解决。
在python的开发框架Django自带的模板系统中,可以使用escape进行htmlencode,比如:
{{ var | escape }} |
$var $var |
<"" > |
在OWASP ESAPI中推荐课一个更严格的HTMLEncode--除了字幕、数字外,其他所有字符都被编码成HTMLEntities。
String safe=ESAPI.encoder().encodeForHTMLAttribute(request.getParameter("input"));
这段代码最终输出弹框1,被XSS***。原因在于,第一次执行JavaScriptEscape后只保护了:
var x = "$var" |