JavaScript 的 Cross Site 脚本注入风险

今天有人来公司推销网站安全扫描软件，演示了对JS的跨域脚本注入风险的扫描，以前没意识到，今天有所了解。如果您的程序页面有以下情况，那么JS脚本注入的风险就很大：

1）页面打开时，URL 有某个参数，例如 XXPage.aspx?XXParam=XXValue

2）aspx页面里有如下代码：

<script>

var p = "<%=Request["XXParam"];%>";

</script>

注入风险如下：

1）黑客假冒网站身份发送邮件给用户，用户打开网页链接，链接虽然是指向 XXPage.aspx，但 XXParam 却被做了改造，例如：XXParam 被设置为 "; document.location.href = 'http://www.xxx.com/XXFakePage.aspx';//"。注意，前面的双引号是用来屏蔽 var p = " 的，后面紧接着就是一个JS页面跳转语句；最后面的 //" 是用来屏蔽 JS 脚本中的后引号的，最终形式如下：

<script>

var p = ""; document.location.href = 'http://www.xxx.com/XXFakePage.aspx';//"";

</script>

明白了吗？

你猜结果会怎么样？页面直接被跳转到 http://www.xxx.com/XXFakePage.aspx，如果这个页面是假冒页面，并且这个页面是嵌入在 Frameset 里的，那就不会显示在浏览器地址栏里，用户就会在毫无觉察的情况下，把用户名、密码、银行卡账号密码等机密信息提交到假冒服务器上！！

对策：

方法一：不要用 <%=Request["XXParam"];%> 来解析参数值，而直接用 JS 脚本从URL获取参数值

方法二：把参数值先放在 HIDDEN 控件里，例如: <input type=hidden id=xxhid value="<%=Server.HtmlEncode(Request["XXParam"]);%>"> 里，然后在 JS 里改为 var p = document.all.xxhid.value;

应该还有其他方法，以上方法只是示意，没有去编译，仅供参考。