xss(跨站脚本)攻击是web应用中最常见的安全漏洞之一,它允许攻击者在受害用户的浏览器中执行恶意脚本。为了防范此类攻击,开发者通常会对用户输入进行转义处理。然而,编写一个真正安全的自定义转义函数并非易事,稍有疏忽便可能引入新的漏洞。本文将深入分析一个常见的javascript xss防御函数,揭示其潜在的安全隐患,并提供更健壮的防御策略。
现有防御函数的局限性分析
考虑以下一个尝试进行XSS防御的JavaScript函数:
function escape(s) {
s = s.toString()
if (s.length > 100) { throw new Error("Too long!") }
s = s.replace(/./g, function(x) {
return { '<': 'zuojiankuohaophpcn', '>': 'youjiankuohaophpcn', '&': '&'}[x] || x;
});
if (s.match("prompt") || s.match("alert")) { throw new Error("XSS caught") }
return ""+s+""
}这个函数旨在通过以下方式增强安全性:
- 将输入转换为字符串。
- 限制输入长度,防止过长的恶意载荷。
- 将HTML特殊字符 、& 转义为对应的HTML实体。
- 检查并阻止包含 "prompt" 或 "alert" 关键字的输入。
- 将处理后的字符串包裹在 标签中返回。
尽管该函数采取了一些防御措施,但仍存在以下关键漏洞:
1. 不完整的HTML实体转义
当前函数仅转义了 和 &。然而,在HTML上下文中,尤其是在属性值中,单引号(')、双引号(")和反引号(`)同样是至关重要的。如果用户输入被放置在HTML属性中(例如
或 ),而这些引号未被转义,攻击者可以轻易地闭合属性并注入新的属性或事件处理器。
立即学习“Java免费学习笔记(深入)”;
示例攻击场景: 假设上述 escape 函数的输出
...后来被嵌入到另一个元素的属性中,例如:如果 userInput 为 test" onclick="alert(1),则 escape(userInput) 返回
test" onclick="alert(1)。当其被嵌入到 data-content 属性时,最终的HTML会变成:这里的 " 会提前闭合 data-content 属性,onclick="alert(1) 将作为新的属性被浏览器解析执行。即使 escape 函数明确返回
标签,一个更全面的HTML转义函数也应该考虑转义所有可能导致上下文逃逸的字符,以确保其在任何HTML上下文中的安全性。2. 基于关键字的过滤易被绕过
函数中对 "prompt" 和 "alert" 关键字的检查是一种常见的防御尝试,但这种基于黑名单的过滤方法非常脆弱。攻击者可以通过多种方式混淆恶意代码,从而绕过此类检测:
- 字符串拼接: pro + mpt
- 编码: 使用HTML实体编码(alert)、URL编码(%61%6c%65%72%74)、JavaScript Unicode转义(\u0061\u006c\u0065\u0072\u0074)或十六进制转义。
- 函数引用: window['al' + 'ert'](1) 或 [].find.constructor('alert(1)')()。
- 模板字符串: alert\1`` (如果反引号未被转义)。
这些方法使得简单的字符串匹配变得毫无意义,攻击者可以轻松地执行 alert() 或 prompt() 等函数,而不会触发防御机制。
3. 长度限制的局限性
虽然限制输入长度(如100字符)是一个良好的实践,有助于缓解某些类型的攻击(如内存耗尽或SQL注入),但对于XSS而言,短小精悍的恶意代码同样可以造成巨大危害。例如,
这样的载荷通常远低于100字符,却足以执行攻击。因此,长度限制不能替代严格的输入验证和转义。
构建更健壮的XSS防御策略
鉴于上述漏洞,构建一个真正安全的XSS防御机制需要更全面和上下文敏感的方法。
1. 采用上下文敏感的转义
XSS防御的核心原则是“输出编码”,即根据数据将被插入的HTML上下文来选择正确的编码方式。
-
HTML内容: 当数据插入到HTML元素内部(如 内容)时,需要转义 、&。
- HTML属性: 当数据插入到HTML属性值中(如 )时,需要转义 "、'、&。对于URL属性,还需要进行URL编码。
- JavaScript上下文: 当数据插入到
一个更全面的HTML内容转义函数应至少包含对引号和反引号的转义:
function escapeHtmlContent(s) { s = String(s); // 确保是字符串 // 转义HTML特殊字符,包括引号和反引号 return s.replace(/[<>&"'`]/g, function(c) { switch (c) { case '<': return 'zuojiankuohaophpcn'; case '>': return 'youjiankuohaophpcn'; case '&': return '&'; case '"': return '"'; case "'": return '''; // 或 ' case '`': return '`'; // 或 ` default: return c; } }); } // 示例使用 // console.log("" + escapeHtmlContent("@@##@@") + ""); // 输出:zuojiankuohaophpcnimg src=x onerror='alert(1)'youjiankuohaophpcn请注意,即使是上述函数,也仅适用于将数据作为纯HTML内容插入的情况。如果数据要插入到JavaScript代码中,则需要完全不同的转义策略。
2. 优先使用成熟的XSS防护库或API
自行编写XSS防御函数极易出错且难以维护。强烈建议使用经过安全专家审查和广泛测试的第三方库或浏览器原生API:
- DOMPurify: 这是一个功能强大且高度安全的HTML净化库,它通过白名单的方式移除所有潜在的恶意内容,只保留安全的HTML。
- Google Caja (HTML Sanitizer API): 虽然更复杂,但
