如何解决繁琐的WEB前端的XSS问题?

资讯中心

如何解决繁琐的WEB前端的XSS问题?

来自:衡庐科技 发布时间:2017/5/31 14:21:30 浏览次数:
在WEB前端开发的过程中,由于大量的URL和多处使用的传递参数,使得很多开发者经常会留下XSS的漏洞。在安全测试中一旦发现漏洞,必须给开发者开defect。Defect的优先级非常高,必须立刻解决。开发者往往为了快速封堵当前漏洞,使用很tricky的方法。这样子经常导致这边漏洞堵上了,那边漏洞又出现了。

我在开发过程中,总结了自己的一套方法。此方法可以有系统的,一致性的解决XSS问题。本文所使用的开发环境为简单java和jsp平台。对于其他平台,如php,c#,.net,此方法也可用。

首先举两个前端常见的XSS的漏洞。

1, https:// www.2cto.com ?name="><script>prompt('XSS Vulnerability')</script>


如果JSP里面有这么一段代码(本处使用了EL):

<input value="${name}"/>
name参数中的值将会对input进行截断,并声称script片段,从而运行script。

2, https:// www.2cto.com ?name=";alert("Hello");" <script>var name="${name}";</script>
name参数中的值也会对其截断。并运行alert。

下面讲一下HTML的NCR标准

html使用了不合规范的unicode,也就是ncr标准,&#后面跟代码点,就可以被展现成相应代码点对应的字符。如果使用unicode表达,使用document.createTextNode('\uxxxx').

或者在HTML页面中直接使用&#xxxx.

例如,字的unicode是23383, 在html中,如果这样写:<label>字</label><input name="字" value="字"/>

又例如,>的unicode是62, 在html中,如果这样写:<label>></label><input name=">" value=">"/>

最终user agent在展示html之后,页面将彻底解析成为<label>&gt;</label><input name="&gt;" value="&gt;"/> 展示为<label>></label><input name=">" value=">"/>

注意:这里需要解释。user agent在解释html的时候,会有3个过程:

1, 把NCR替换成真正的字符,2, 将某些替换好的字符再转成HTML Entities.例如>将变为&gt;。3,将解析好的HTML进行展示。

这时候如果调用innerText(IE) 或者textContent(FF),将会得到展示后的字符串。如果调用innerHTML或者outerHTML,将会得到第2步解析后的字符串。


innerText 现在除了FF 3.6 外,Chrome Safari Opera 均支持了它。
textContent 除了IE8 及其低版本外,IE9 perviewer Chrome Safari Opera 中均支持了它。


使用getAttribute().nodeValue永远都是得到的展示后的字符串。

将想要获取的字符串转为NCR格式,保存于attribute之中,在展示后使用getAttribute().nodeValue重新获取原字符串。
售前咨询售后服务技术支持