在 Web 安全領域中,XSS 和 CSRF 是最常見的攻擊方式。本文將會簡單介紹 XSS 和 CSRF 的攻防問題。
XSS (Cross Site Script) 跨站指令碼攻擊
XSS 攻擊是指攻擊者在網站上注入惡意的客戶端程式碼,通過惡意指令碼對客戶端網頁進行篡改,從而在使用者瀏覽網頁時,對使用者瀏覽器進行控制或者獲取使用者隱私資料的一種攻擊方式。
攻擊者對客戶端網頁注入的惡意指令碼一般包括 JavaScript,有時也會包含 HTML 和 Flash。有很多種方式進行 XSS 攻擊,但它們的共同點為:將一些隱私資料像 cookie、session 傳送給攻擊者,將受害者重定向到一個由攻擊者控制的網站,在受害者的機器上進行一些惡意操作。
XSS 攻擊可以分為 3 類:反射型(非持久型)、儲存型(持久型)、基於 DOM。
XSS 主要是通過輸入框等形式提交 js 指令碼,最終在頁面上被執行。
XSS 攻擊的防範
現在主流的瀏覽器內建了防範 XSS 的措施,例如 CSP。但對於開發者來說,也應該尋找可靠的解決方案來防止 XSS 攻擊。
HttpOnly 防止劫取 Cookie
HttpOnly 最早由微軟提出,至今已經成為一個標準。瀏覽器將禁止頁面的 Javascript 訪問帶有 HttpOnly 屬性的 Cookie。
上文有說到,攻擊者可以通過注入惡意指令碼獲取使用者的 Cookie 資訊。通常 Cookie 中都包含了使用者的登入憑證資訊,攻擊者在獲取到 Cookie 之後,則可以發起 Cookie 劫持攻擊。所以,嚴格來說,HttpOnly 並非阻止 XSS 攻擊,而是能阻止 XSS 攻擊後的 Cookie 劫持攻擊。
輸入檢查
不要相信使用者的任何輸入。 對於使用者的任何輸入要進行檢查、過濾和轉義。建立可信任的字元和 HTML 標籤白名單,對於不在白名單之列的字元或者標籤進行過濾或編碼。
在 XSS 防禦中,輸入檢查一般是檢查使用者輸入的資料中是否包含 <,> 等特殊字元,如果存在,則對特殊字元進行過濾或編碼,這種方式也稱為 XSS Filter。
而在一些前端框架中,都會有一份 decodingMap, 用於對使用者輸入所包含的特殊字元或標籤進行編碼或過濾,如 <,>,script,防止 XSS 攻擊:
// vuejs 中的 decodingMap
// 在 vuejs 中,如果輸入帶 script 標籤的內容,會直接過濾掉
const decodingMap = {
'<': '<',
'>': '>',
'"': '"',
'&': '&',
' ': '\n'
}
複製程式碼
輸出檢查
使用者的輸入會存在問題,服務端的輸出也會存在問題。一般來說,除富文字的輸出外,在變數輸出到 HTML 頁面時,可以使用編碼或轉義的方式來防禦 XSS 攻擊。例如利用 sanitize-html 對輸出內容進行有規則的過濾之後再輸出到頁面中。
CSRF (Cross Site Request Forgery)
CSRF,即 Cross Site Request Forgery,中譯是跨站請求偽造,是一種劫持受信任使用者向伺服器傳送非預期請求的攻擊方式。
通常情況下,CSRF 攻擊是攻擊者藉助受害者的 Cookie 騙取伺服器的信任,可以在受害者毫不知情的情況下以受害者名義偽造請求傳送給受攻擊伺服器,從而在並未授權的情況下執行在許可權保護之下的操作。
在使用者已經登入目標站的前提下,訪問到了攻擊者的釣魚網站,攻擊者直接通過 url 呼叫目標站的介面,偽造使用者的行為進行攻擊,通常這個行為使用者是不知情的。
CSRF 攻擊的防範
當前,對 CSRF 攻擊的防範措施主要有如下幾種方式。
驗證碼
驗證碼被認為是對抗 CSRF 攻擊最簡潔而有效的防禦方法。
從上述示例中可以看出,CSRF 攻擊往往是在使用者不知情的情況下構造了網路請求。而驗證碼會強制使用者必須與應用進行互動,才能完成最終請求。因為通常情況下,驗證碼能夠很好地遏制 CSRF 攻擊。
但驗證碼並不是萬能的,因為出於使用者考慮,不能給網站所有的操作都加上驗證碼。因此,驗證碼只能作為防禦 CSRF 的一種輔助手段,而不能作為最主要的解決方案。
Referer Check
根據 HTTP 協議,在 HTTP 頭中有一個欄位叫 Referer,它記錄了該 HTTP 請求的來源地址。通過 Referer Check,可以檢查請求是否來自合法的"源"。
比如,如果使用者要刪除自己的帖子,那麼先要登入 www.c.com,然後找到對應的頁面,發起刪除帖子的請求。此時,Referer 的值是 www.c.com;當請求是從 www.a.com 發起時,Referer 的值是 www.a.com 了。因此,要防禦 CSRF 攻擊,只需要對於每一個刪帖請求驗證其 Referer 值,如果是以 www.c.com 開頭的域名,則說明該請求是來自網站自己的請求,是合法的。如果 Referer 是其他網站的話,則有可能是 CSRF 攻擊,可以拒絕該請求。
針對上文的例子,可以在服務端增加如下程式碼:
if (req.headers.referer !== 'http://www.c.com:8002/') {
res.write('csrf 攻擊');
return;
}
複製程式碼
Referer Check 不僅能防範 CSRF 攻擊,另一個應用場景是 "防止圖片盜鏈"。
新增 token 驗證
CSRF 攻擊之所以能夠成功,是因為攻擊者可以完全偽造使用者的請求,該請求中所有的使用者驗證資訊都是存在於 Cookie 中,因此攻擊者可以在不知道這些驗證資訊的情況下直接利用使用者自己的 Cookie 來通過安全驗證。要抵禦 CSRF,關鍵在於在請求中放入攻擊者所不能偽造的資訊,並且該資訊不存在於 Cookie 之中。可以在 HTTP 請求中以引數的形式加入一個隨機產生的 token,並在伺服器端建立一個攔截器來驗證這個 token,如果請求中沒有 token 或者 token 內容不正確,則認為可能是 CSRF 攻擊而拒絕該請求。
總結
本文主要介紹了 XSS 和 CSRF 的攻擊原理和防禦措施。當然,在 Web 安全領域,除了這兩種常見的攻擊方式,也存在這 SQL 注入等其它攻擊方式,這不在本文的討論範圍之內,如果你對其感興趣,可以閱讀 SQL 注入技術專題的專欄詳細瞭解相關資訊。最後,總結一下 XSS 攻擊和 CSRF 攻擊的常見防禦措施:
- 防禦 XSS 攻擊
- HttpOnly 防止劫取 Cookie
- 使用者的輸入檢查
- 服務端的輸出檢查
- 防禦 CSRF 攻擊
- 驗證碼
- Referer Check
- Token 驗證