Writer：BYSocket（泥沙磚瓦漿木匠）

• 微博：BYSocket
• 豆瓣：BYSocket

Reprint it anywhere u want.

文章Points:

1. 認識XSS

2. XSS攻擊

3. XSS防御(重點)

一、認識XSS先

先說個故事吧，在上一篇，我還想說這個案例。其實什么叫攻擊，很簡單。獲取攻擊者想要的信息，就黑成功了。抓到一個Tomcat漏洞（這不是我說的，一個認識的人說的），上傳一個JSP，里面模擬HttpClient，下載一個木馬，運行。OK,搞定了。所以，沒有絕對的安全。

今天，泥瓦匠帶你們認識下XSS，然后關于怎么防御的問題。至于防御的話，仁者見仁智者見智。爾等啥都不配不上的就綽見，望各位閱讀者相互討論。泥瓦匠目前是搞JAVA的，所以例子上JAVA比較多。

Q: 什么是XSS? 為啥有這個呢？

A: 全名：Cross Site Script，中文名：跨站腳本攻擊。顧名思義，是指“HTML注入”纂改了網頁，插入惡意的腳本，從而在用戶用瀏覽網頁的時候，控制用戶瀏覽器的一種攻擊。

XSS根據攻擊的穩定性可分為三種：反射型XSS, 存儲型XSS,DOM Based XSS.

二、XSS攻擊

再來了解下XSS，是如何攻擊？泥瓦匠這時候想到一句話：知己知彼，百戰百勝吧。這攻擊我們不會很詳細解釋，畢竟想說的是XSS防御嘛。首先，泥瓦匠要介紹下的是：

XSS Playload,所謂用以完成各種具體的功能的惡意腳本。這時候我想到了黑客精神中的小插曲，現在所謂的“黑客”不是真正的黑客，而是稱為腳本小子（Script Kid）。常見的一個XSS Playload，就是通過讀取瀏覽器的Cookie對象，從而發起了‘Cookie劫持’攻擊。這個泥瓦匠會教你們去防御哈，其中Cookie的‘HttpOnly’標識可以防止哦。

強大的XSS Playload可以做以下的事情哈：1、構造 GET 與 POST 請求 2、各種釣魚 3、識別用戶瀏覽器 等等

Q&A

Q：什么叫做釣魚呢？

A：顧名思義，愿者上鉤，這里做貶義用法。比如，人家用一個假的彈出框，或者假的頁面讓你輸入QQ信息，或者啥賬號信息。其實你一輸入人家服務器獲取到你的賬戶密碼了。這就是魚兒上鉤了。 如圖比喻：

[[127051]]

三、XSS防御(重點)

兵來將擋，水來土掩。泥瓦匠在Web安全上，想提醒大家的是：“再高的樹，猴子也能爬上去。”因此，我們考慮的地方有些默認都給你做好了，有些需要我們自己去關心，去設置。

其實在看不到的地方很多已經對抗XSS做了些措施。比如各種瀏覽器等。

一、按著上面的思路，泥瓦匠先聊下Cookie，一個Cookie，我們是這樣使用的：

1、瀏覽器下服務器發送請求，準備獲取Cookie

2、服務器返回發送Cookie頭，向客戶端瀏覽器寫入Cookie。（注意哦，這里是瀏覽器，不要當成什么瀏覽器內核）

3、在Cookie到期前，瀏覽器所有頁面，都會發送Cookie。

這就意味著，我們Cookie不能亂用。就像Session一樣，所以在使用的時候，要注意下。有時候Cooike在用于記住密碼的時候，千萬要注意要將Cookie設置HttpOnly屬性為Ture。這里我以SpringMVC為例子。如果用到Cookie的時候，應該這樣：

截個Controller整個代碼看看：

我們打開瀏覽器可以看到下面這種結果，訪問URL這個Controller層，打開Firebug查看：

二、輸入校驗

輸入校驗的邏輯必須放在服務端中實現。如果用JS進行的話，容易被攻擊者繞過去。所以普遍的做法是，類似很多代碼一樣進行Double Check:”客戶端JS校驗和服務端校驗一起，這樣客戶端JS校驗會阻擋大部分甚至說99%的用戶的誤操作。”

在XSS防御上，我們需要對用戶輸入的一些特殊字符校驗，過濾或者是編碼。這種輸入校驗的方式成為“XSS Filter”。首先我們在配置文件中，

其中的路徑配置當然，在你需要的地方配置下咯。然后泥瓦匠在這里寫了個，Http請求裝飾類，用來對這些參數的過濾。說干就干唄~實戰出經驗。

四、總結

  用兵之道在于，如何正確的使用，才能以少勝多。Web安全這場戰爭也一樣，所以要如何正確的使用XSS防御。

Writer：BYSocket（泥沙磚瓦漿木匠）

• 微博：BYSocket
• 豆瓣：BYSocket

Reprint it anywhere u want.

原文出自：http://my.oschina.net/jeffli1993/blog/373992