1.概念
  xss一般分为两类,反射型和存储型。
  反射型xss指的是客户端的不安全输入而引起的攻击,例如:
  在某网站搜索,搜索结果会显示搜索的关键词,搜索时关键词填入<script>alert('1')</script>,然后点击搜索。如果页面没有对关键词进行过滤及代码转换,这段代码就会直接在页面上执行,弹出 1。
 
  存储型xss指的提交带有恶意脚本内容的数据到服务器上,而在其他用户看到这些内容时,发起攻击。
 
2.应对之道
(1)对于输出到html的输入内容,采用过滤关键词的方式,把预设的关键词转换成字符实体,例如将< >转换成&lt; 和 &gt; 。
(2)Content-Security-Policy(内容安全策略) 简称 csp
  即只允许页面向我们允许的域名发起跨域请求,而不符合策略的恶意攻击则被阻挡。csp需要在Response Headers中添加 ,请看例子:
 
● js仅允许本站资源或https://apis.google.com的资源
Content-Security-Policy: script-src 'self' https://apis.google.com
  
● js仅允许本站资源,图片允许所有资源,media类型仅允许本站资源,font类型允许本站及fonts.gstatic.com的资源
Content-Security-Policy: default-src 'none'; script-src 'self'; img-src * data:; media-src 'self' ; font-src 'self' fonts.gstatic.com;
 
● 允许本站的资源,图片允许所有资源, js仅允许 http://trustedscripts.example.com下的资源。
Content-Security-Policy: default-src ‘self’; img-src *;script-src http://trustedscripts.example.com
  指令集:
    default-src:默认行为,所有未单独指定的指令都会按照这个来执行
    script-src: 用于限制js的来源只能是后面跟着的地址,其他都不执行
    style-src: 控制样式表@import和rel时所引入的URI资源
    img-src: 用于定义可从中加载图像的来源。
    media-src: 用于限制允许传输视频和音频的来源。
    object-src: 可对 Flash 和其他插件进行控制。
    base-uri: 用于限制可在页面的 <base> 元素中显示的网址。
    child-src: 用于列出适用于工作线程和嵌入的帧内容的网址。例如:child-src https://youtube.com 将启用来自 YouTube(而非其他来源)的嵌入视频。 使用此指令替代已弃用的 frame-src 指令。
    connect-src: 用于限制可(通过 XHR、WebSockets 和 EventSource)连接的来源。
    font-src: 用于指定可提供网页字体的来源。Google 的网页字体可通过 font-src https://themes.googleusercontent.com 启用。
    form-action: 用于列出可从 <form> 标记提交的有效端点。
    frame-ancestors: 用于指定可嵌入当前页面的来源。此指令适用于 <frame>、<iframe>、<embed> 和 <applet> 标记。此指令不能在 <meta> 标记中使用,并仅适用于非 HTML 资源。
    plugin-types: 用于限制页面可以调用的插件种类。
    upgrade-insecure-requests: 指示 User Agent 将 HTTP 更改为 HTTPS,重写网址架构。 该指令适用于具有大量旧网址(需要重写)的网站。
 
  填写项:
    主机名:example.org,https://example.com:443
    路径名:example.org/resources/js/
    通配符:*.example.org,*://*.example.com:*(表示任意协议、任意子域名、任意端口)
    协议名:https:、data:
    'self':当前域名,需要加引号
    'none':禁止加载任何外部资源,需要加引号
    多个值也可以并列,用空格分隔。
 
  script-src 的特殊值
    除了常规值,script-src还可以设置一些特殊值。注意,下面这些值都必须放在单引号里面。
    'unsafe-inline':允许执行页面内嵌的&lt;script>标签和事件监听函数
    unsafe-eval:允许将字符串当作代码执行,比如使用eval、setTimeout、setInterval和Function等函数。
    nonce值:每次HTTP回应给出一个授权token,页面内嵌脚本必须有这个token,才会执行
    hash值:列出允许执行的脚本代码的Hash值,页面内嵌脚本的哈希值只有吻合的情况下,才能执行。
    nonce值的例子如下,服务器发送网页的时候,告诉浏览器一个随机生成的token。
 
  注意点
    ● script-src和object-src是必设的,除非设置了default-src。
      因为攻击者只要能注入脚本,其他限制都可以规避。而object-src必设是因为 Flash 里面可以执行外部脚本。
    ● script-src不能使用unsafe-inline关键字(除非伴随一个nonce值),也不能允许设置data:URL。
 
(3)x-frame-options(X框架选项)
  本选项的主要作用是避免钓鱼iframe,也就是防止本网页被其他人放在iframe中使用。
  它有3个选项:
    DENY:不允许任何网页iframe嵌套本网页
    SAMEORIGIN:只有当父网页与本网页的域名相同时,才允许嵌套
    ALLOW-FROM http://xxx.com/:只有父网页域名等于该域名时,才允许嵌套
 
  而不指定x-frame-option时,默认允许所有网页嵌套
  另外也支持meta标签设置,但content中仅支持上述前两个选项。
  

<meta http-equiv="X-Frame-Options" content="deny">,
  
 
(4)x-content-type-options(X内容类型选项)
  x-content-type-options是用来限制客户端Content-type响应头必须遵循MIME类型。
  它仅有一项选择:X-Content-Type-Options: nosniff,意思是禁用浏览器对文档类型的自动判断。
  这是因为有时候你的资源的Content-Type是错的或者未定义,这时,浏览器会使用MIME-sniffing嗅探该资源的类型,最终渲染执行,从而导致漏洞的出现。
  举个例子:
  某php网页在某不支持php的服务器上运行,如果没有设置Content-Type,则php会被解释为纯文本或者html,此时就会直接打印出来里面的所有内容。
 
(5)x-xss-protection(浏览器xss防护选项)
  XSS filter/auditor是浏览器厂商(IE、webkit浏览器)内置的针对xss攻击的防护机制,设置很简单,只需要在response中,添加x-xss-protection字段,告知浏览器该如何工作。
  它也有3项可供选择:
  0: 表示关闭浏览器的XSS防护机制
  1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置
  1; mode=block:如果检测到恶意代码,不渲染恶意代码
  推荐使用 1; mode=block。
 

XSS(跨域脚本攻击)应对之道的更多相关文章

  1. CSRF跨站请求伪造与XSS跨域脚本攻击讨论

    今天和朋友讨论网站安全问题,聊到了csrf和xss,刚开始对两者不是神明白,经过查阅与讨论,整理了如下资料,与大家分享. CSRF(Cross-site request forgery):跨站请求伪造 ...

  2. 解决跨域脚本攻击 XSS

    配置Content Security Policy    传送门:作者: 阮一峰 http://www.ruanyifeng.com/blog/2016/09/csp.html [前端安全]JavaS ...

  3. XSS跨站点脚本攻击

    XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS. 以下为Jav ...

  4. HTTP攻击与防范-跨网站脚本攻击

    实验目的 1.了解XSS -跨网站脚本攻击带来的危险性. 2.掌握XSS -跨网站脚本攻击的原理与方法 3.掌握防范攻击的方法 实验原理 跨网站脚本攻击之所以会发生,是因为网站的Web应用程序对用户的 ...

  5. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  6. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

  7. IBM Rational AppScan:跨站点脚本攻击深入解析

    IBM Rational AppScan:跨站点脚本攻击深入解析    了解黑客如何启动跨站点脚本攻击(cross-site scripting,XSS),该攻击危害(及不危害)什么,如何检测它们,以 ...

  8. XFS: Cross Frame Script (跨框架脚本) 攻击。

    一.Cross Frame Script (跨框架脚本) 攻击什么是Cross Frame Script?很简单,做个实验就知道了.把下面的这段HTML代码另存为一个html文件,然后用ie浏览器打开 ...

  9. Cross Frame Script (跨框架脚本) 攻击

    一.Cross Frame Script (跨框架脚本) 攻击 什么是Cross Frame Script? 很简单,做个实验就知道了.把下面的这段HTML代码另存为一个html文件,然后用ie浏览器 ...

随机推荐

  1. Cocos2d中update与fixedUpdate的区别(一)

    原文链接 关于这个问题cocos2d中的fixedUpdate:(或者是Unity中的FixedUpdate)在不同论坛中出现略显频繁.它被回答过很多次了,不管如何,每次一些童鞋在得到答案后还是有一些 ...

  2. SpartanBrowser产品和安全特性简介

    v:* { } o:* { } w:* { } .shape { }p.MsoNormal,li.MsoNormal,div.MsoNormal { margin: 0cm; margin-botto ...

  3. 【Java编程】Java学习笔记<二>

    种访问权限,而类的访问控制级别只有public和缺省的,当为public时,可以被任何包的其他类访问,当为缺省时,只能被同一包的其他类访问.如果类自身对另一个类是不可见的,即使类的成员声明为publi ...

  4. 用O_APPEND标志open一个文件,能否用lseek在任意位置读写

    结论比较简单,用O_APPEND打开后,write操作是一个原子操作,所以每次都会自动把偏移量移到文件末尾,所以用lseek不能在任意位置write.但是可以用lseek在任意位置开始读.下面用代码测 ...

  5. 关机充电如何实现短按pwrkey灭屏

    目前关机充电PWRKEY实现长按开机和短按亮屏功能,灭屏是根据BL_SWITCH_TIMEOUTS时间,自动灭屏的:如果需要实现PWRKEY主动灭屏,请按照如下方法修改:     alps/media ...

  6. Android Xlistview的源码浅度分析 监听ListView上下滑动 以及是否到顶和底部

    如转载 请注明出处 http://blog.csdn.net/sk719887916 比如我们很多项目中会用到listview 并且要对listview滑动方向进行判断 也有需要的到listview是 ...

  7. 【11】-java递归和非递归二叉树前序中序后序遍历

    二叉树的遍历 对于二叉树来讲最主要.最基本的运算是遍历. 遍历二叉树 是指以一定的次序访问二叉树中的每个结点.所谓 访问结点 是指对结点进行各种操作的简称.例如,查询结点数据域的内容,或输出它的值,或 ...

  8. C语言高级应用---操作linux下V4L2摄像头应用程序

    我们都知道,想要驱动linux下的摄像头,其实很简单,照着V4L2的手册一步步来写,很快就可以写出来,但是在写之前我们要注意改变系统的一些配置,使系统支持framebuffer,在dev下产生fb0这 ...

  9. Linux下安装MQ

    1.下载Linux下MQ的安装包,网上下载试用版或购买正版,此处以7.0.0.0版为例安装 2.如上图所示,是linux的MQ安装包展开图 3.创建用户和用户组 >root用户连接linux & ...

  10. miniUI Grid添加汇总行,Grid绑定数据,IDEA免编译设置

    坑1: 2017-6-5周二,上午解决了昨天摸索一下午的问题,使用miniui显示汇总行数据,要点有这么几个 在创建Grid div的时候一定要加上以下两个属性: //显示汇总行开关 showSumm ...