XSS漏洞分析

XSS漏洞是什么？

网页（客户端）发送请求时隐藏可自动执行的脚本，从而使脚本跨站执行（cross site scripeting），达到攻击目的。由于缩写和CSS冲突，故使用XSS。

XSS攻击示例

服务器接口：

http://ip:port/test?name=aaa&hobby=bbb

服务器大致处理过程：

String param1 = request.getParameter("name");String param2 = request.getParameter("hobby");// do Sometihingresponse.setContentType("text/html; charset=GBK");  if (ok){    out.println("ok");}else{    out.println(name+" failed");}

若name字段传递为 ,则页面返回时会弹出alert对话框，若脚本里面包含页面跳转和发送本地cookie等操作，可能会造成更多危害。

XSS攻击原因

• 1, 服务器未对传入参数进行有效控制。
• 2, 返回的Content-type可以使自动脚本执行。

XSS攻击修复方案

参数防护

• 1，过滤非法参数（参数黑名单之内的）。
• 2，验证参数是否符合条件（是否白名单之内的）。
• 3，参数转换（将< 转换为 &lt 等）。

应答类型防护

此方法不通用，只针对仅数据交互的类型有效，若要服务器返回网页则失效。这种情况下可以将text/html修改为text/plain。

浏览器XSS防护策略

chrome和firefox浏览器，本身对XSS有过滤，当浏览器发现请求参数和服务器应答有相同的脚本时会拒绝执行。但是这通常是可以被绕过的，如对请求参数进编码。