XSS:Cross Site Scripting,跨站脚本,其攻击的本质是让用户的浏览器运行一段刻意构造的脚本,其实用户的浏览器在加载页面时候会调用其中的脚本段,如果其中存在一段刻意构造的恶意脚本的话,就会被浏览器直接执行,造成攻击。
最常见的例子如下:
现在有一个网站有一个发帖子的功能,然后一个用户登录之后,在输入帖子的内容区输入了如下的内容:
通过上述操作之后,攻击者就可以获取到用户的通行证了,然后在进行其他操作的时候就可以用该cookie进行。
预防策略:
1:该攻击的原理是假冒用户,那么预防的就是加强用户认证,有一种方式是通过refer参数预防,即获取该请求来自的上一页的地址,通过该地址验证来请求来自哪里。但是refer在很多情况下获取不到,包括但不限于:
1.1:Location对象是一个用于页面导航的非常实用的对象。因为他允许你只变更Url的其中一部分。例如从cn域名切换到com域名,其他部分不变:window.location.hostname = "example.com";
但是,通过修改Location进行页面导航的方法,会导致在IE下丢失Referrer。
1.2:window.open方式打开新窗口之后在有些浏览器没有传递refer
1.3:鼠标拖拽打开新窗口,鼠标拖拽是现在非常流行的用户习惯,很多浏览器都内置或者可以通过插件的方式来支持鼠标拖拽式浏览。但是通过这种方式打开的页面,基本全都丢失referrer。并且,这种情况下,也无法使用window.opener的方式去获取丢失的referrer了。
2:通过在页面的输入表单中加入一个随机的字符串,然后将该字符串也嵌入到cookie中,当提交表单的时候服务器可以验证该字符串是否是预先嵌入的字符串进行验证。
3:通过POST的方式,对于提交表单等会发生资源修改的操作,POST操作是首选,由于Ajax在进行提交的时候不能跨域操作,所以可以避免一部分的攻击。