![Web漏洞分析与防范实战:卷1](https://wfqqreader-1252317822.image.myqcloud.com/cover/526/53252526/b_53252526.jpg)
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人
1.1.1 前端防御的开始
页面存在XSS漏洞的原因通常是用户输入的数据在输出时没有经过有效的过滤,示例代码如下:
![](https://epubservercos.yuewen.com/1C0144/31724658703268506/epubprivate/OEBPS/Images/14_01.jpg?sign=1739272138-Z2L5Pz6nvqszviyGf6Q3LCQ37MFuBpL2-0-2194c975da11ef3ee3ca8f785cb52641)
在这种没有任何过滤的页面上,攻击者可以通过各种方式构造XSS漏洞利用,例如:
![](https://epubservercos.yuewen.com/1C0144/31724658703268506/epubprivate/OEBPS/Images/14_02.jpg?sign=1739272138-4EV5PtMHqFv2qwOM48uFlU7hV0x8QEVq-0-d52ec3332a24630e6e8eed80a65f679a)
通常情况下,我们会使用htmlspecialchars函数来过滤输入。这个函数会处理以下5种符号:
![](https://epubservercos.yuewen.com/1C0144/31724658703268506/epubprivate/OEBPS/Images/15_01.jpg?sign=1739272138-ivGPMdjOuz7qexFLpX1pxD8j2rwldc3l-0-a4a56c77b23811b57eb8b860c0818c17)
一般情况下,对于上述页面,这样的过滤机制可能已经足够有效。然而,我们必须认识到,漏洞场景往往比想象中复杂,示例如下:
![](https://epubservercos.yuewen.com/1C0144/31724658703268506/epubprivate/OEBPS/Images/15_02.jpg?sign=1739272138-aX7ggxwpP1qzX3TmbFGc6VsHgK63ua6N-0-a2e0d04f0737931f735fde72e928f341)
对于这样的场景来说,上述过滤方法已不再适用,尤其是在输入点位于script标签内时。因此,我们通常需要采用更多样化的过滤手段来应对这类潜在的XSS攻击点。
首先,我们需要考虑符号的过滤。为了应对各种情况,我们可能需要过滤以下符号:
![](https://epubservercos.yuewen.com/1C0144/31724658703268506/epubprivate/OEBPS/Images/15_03.jpg?sign=1739272138-5d9GSM2qzFTHvHnUtBqKdGa1mIjVTonO-0-2a283929acc2d6486674700fdfd21367)
但事实上,过度过滤符号会严重影响用户的正常输入,因此这种过滤方法并不常见。大多数人会选择使用htmlspecialchars结合黑名单的过滤方法,例如:
![](https://epubservercos.yuewen.com/1C0144/31724658703268506/epubprivate/OEBPS/Images/15_04.jpg?sign=1739272138-xdwheb3ad1Fuv2FejjU7V895Sb3j9JsT-0-fa5ed7edfa57595543a9906f1142fddf)
有没有一种更底层的浏览器层面的防御方式呢?
CSP就这样诞生了。