XSS攻击与防范小结

kongxuan

浏览: 67524 次
性别:

最近访客更多访客>>

hlh1039690326

wgx13

heianxing

chenzhihui

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

webSafety

这篇博客的提纲如下：

一、故障梳理

二、故障解决方案

三、XSS小结

一、故障梳理

这要从最近出的一个故障说起。故障的过程大致如下：

数据流

A系统与B系统域名不同，A系统中的数据提交到A系统某个form表单，然后通过js函数提交到B系统后台，然后显示在B系统的IE浏览器上

这是整个数据流。

其中IE8开始，IE内置了XSS filter机制，当来源为跨站数据源，且数据源中含有疑似XSS攻击恶意数据（微软IE内置的正则来判断，例如，‘中文()’等）的时候，就会停止脚本的运行，直接跳转到空白页。

可以参考http://windows.microsoft.com/en-us/windows7/how-does-internet-explore-9-help-protect-me-from-cross-site-scripting-attacks

本故障就是在A系统提交的数据中含有疑似XSS攻击的字符，导致IE误判，（别的浏览器都没事，IE就是个惹祸的怪胎。远离IE得永生！）无法将数据正确在B系统展示出来。展示了空白页。

二、故障解决方案

解决方案暂时想到的有两种：

1、在B系统的Response的Header里面加入标签X-XSS-Protection=0，阻止IE XSS filter生效。但是这样做有损系统安全性

2、在A系统提交的数据里面做XSS字符的过滤，将疑似XSS的字符从半角转换为全角字符。后面会有相应的代码实现

3、将数据的A系统进行彻底的编码(Base64等)，然后在B系统进行相应的解码

这里选择方案2进行实现：

代码如下：

 public static String xssEncoder(String content){
        StringBuilder bulider=new StringBuilder();
        for(char c :content.toCharArray()){
            switch (c) {
                case '>':
                    bulider.append('＞');// 全角大于号
                    break;
                case '<':
                    bulider.append('＜');// 全角小于号
                    break;
                case '\'':
                    bulider.append('\\');
                    bulider.append('\'');
                    bulider.append('\\');
                    bulider.append('\'');
                    break;
                case '\"':
                    bulider.append('\\');
                    bulider.append('\"');// 全角双引号
                    break;
                case '&':
                    bulider.append('＆');// 全角
                    break;
                case '\\':
                    bulider.append('＼');// 全角斜线
                    break;
                case '#':
                    bulider.append('＃');// 全角井号
                    break;
                case ':':
                    bulider.append('：');// 全角冒号
                    break;
                case '%':
                    bulider.append("\\\\%");
                    break;
                case '(':
                    bulider.append("（");
                    break;
                case ')':
                    bulider.append("）");
                    break;
                case ',':
                    bulider.append("，");
                    break;
                case '.':
                    bulider.append("。");
                    break;
                default:
                    bulider.append(c);
                    break;
            }
        }
        
        return bulider.toString();
    }

顺便提一下针对全站进行XSS防御的两种常用手段

1、配置Nginx的过滤正则脚本，对疑似XSS的脚本特征进行拦截

2、在系统配置拦截器，针对XSS数据进行清洗过滤，如http://my.oschina.net/hermer/blog/152834

三、XSS 小结

这部分内容太多，做不好讲述。有很多web安全的书籍都讲得非常不错。这里就不泛泛而谈了