XSS防范之Encode
2016-09-30 22:58
253 查看
防范XSS有三道防火墙:数据的输入校验,数据输出Encode,浏览器安全(主要就是CSP),这里主要介绍Encode。
#用于XSS防范的Encode
用户防范XSS的Encode主要有三种:HtmlEncode,javascriptEncode,urlEncode。每种encode都有不同的使用场景。
#HtmlEncode
HtmlEncode将一些字符编码为html实体,比如将 < 编码为 < 这样编码会起到什么效果呢?
假设页面代码如下:
数据在标签或属性中输出时使用。
#javascriptEncode
使用“\”对特殊字符进行转义,除数字,字母之外,小于127的字符编码使用16进制“\xHH”的方式进行编码,大于127用unicode。
假设页面中有如下脚本片段:
假设var被恶意注入为 ";alert(1);//
#urlEncode
urlEncode可以对中文以及特殊字符进行编码,数据在url类型输出时要使用urlEncode,比如href,src
www.abc.com?name=<script>alert('钓鱼岛')</script>
对上面这句urlEncode之后就变成了:
www.abc.com%3fname%3d%3cscript%3ealert(%27%e9%92%93%e9%b1%bc%e5%b2%9b%27)%3c%2fscript%3e
#为何Encode可以起作用?
htmlEncode可以防止恶意的标签闭合
JavaScriptEncode可以防止引号闭合
urlEncode可以防止标签闭合同时支持中文输入
1)攻击一般就是通过构造一个js可执行环境或者在既有的js可执行环境里来执行恶意脚本。去除了恶意的标签闭合和引号闭合就可以有效的防止恶意脚本的注册(有些并不是立即执行)和执行。
2)Encode让浏览器把用户输入作为数据本身而不是作为可执行的代码。
3)Encode必须用在适当的位置,否则会破坏正常的语义。
#用于XSS防范的Encode
用户防范XSS的Encode主要有三种:HtmlEncode,javascriptEncode,urlEncode。每种encode都有不同的使用场景。
#HtmlEncode
HtmlEncode将一些字符编码为html实体,比如将 < 编码为 < 这样编码会起到什么效果呢?
假设页面代码如下:
<div>${var}</div>如果var的值被注入了恶意代码 <script>alert(1)</script>,我们知道页面返回的时候会直接弹出一个alert框,而如果对var的值进行htmlEncode后页面代码就变成了:
<div> <script>alert(1)</script> </div>浏览器选后不会弹出alert框,而是将<script>alert(1)</script>显示为纯字符。
数据在标签或属性中输出时使用。
#javascriptEncode
使用“\”对特殊字符进行转义,除数字,字母之外,小于127的字符编码使用16进制“\xHH”的方式进行编码,大于127用unicode。
假设页面中有如下脚本片段:
<script> var j="${var}" </script>
假设var被恶意注入为 ";alert(1);//
<script> var j="";alert(1);// </script>这样页面又会弹出一个alert框,而如果对 ";alert(1);// 进行javascriptEncode,则变为下面这样,不会产生注入影响
<script> var j="\"\x3balert\x281\x29\x3b\x2F\x2F" </script>数据在脚本中输出或者在事件中输出时要使用javascriptEncode
#urlEncode
urlEncode可以对中文以及特殊字符进行编码,数据在url类型输出时要使用urlEncode,比如href,src
www.abc.com?name=<script>alert('钓鱼岛')</script>
对上面这句urlEncode之后就变成了:
www.abc.com%3fname%3d%3cscript%3ealert(%27%e9%92%93%e9%b1%bc%e5%b2%9b%27)%3c%2fscript%3e
#为何Encode可以起作用?
htmlEncode可以防止恶意的标签闭合
JavaScriptEncode可以防止引号闭合
urlEncode可以防止标签闭合同时支持中文输入
1)攻击一般就是通过构造一个js可执行环境或者在既有的js可执行环境里来执行恶意脚本。去除了恶意的标签闭合和引号闭合就可以有效的防止恶意脚本的注册(有些并不是立即执行)和执行。
2)Encode让浏览器把用户输入作为数据本身而不是作为可执行的代码。
3)Encode必须用在适当的位置,否则会破坏正常的语义。
相关文章推荐
- XSS防范
- aaencode - A Xss Code
- HtmlEncode和JavaScriptEncode(预防XSS)
- 最近遇到的sql注入,目录遍历,xss的防范
- 考虑使用AntiXss.HtmlEncode方法来防止跨站点脚本攻击
- java防范跨站脚本攻击(XSS)
- 使用enCode和deCode来解决xss的危害
- javascript Encode、htmlEncode 防止xss
- web安全防范之XSS漏洞攻击
- 【超精简JS模版库/前端模板库】原理简析 和 XSS防范
- XSS防范
- 浅谈跨网站脚本攻击(XSS)的手段与防范(简析新浪微博XSS攻击事件)
- XSS研究3-来自内部的XSS攻击的防范
- Java Web 安全之XSS防范
- Yii2 XSS 防范策略
- 网站安全之XSS漏洞攻击以及防范措施
- Web站点如何防范XSS、CSRF、SQL注入攻击
- 预防XSS方法:HtmlEncode和JavaScriptEncode(转)
- ASP.Net防范XSS漏洞攻击的利器HtmlSanitizer
- 网站安全之XSS漏洞攻击以及防范措施