web安全：什麼是 XSS 和 CSRF

在 Web 安全領域中，XSS 和 CSRF 是最多見的攻擊方式。本文將會簡單介紹 XSS 和 CSRF 的攻防問題。

XSS (Cross Site Script) 跨站腳本攻擊

XSS 攻擊是指攻擊者在網站上注入惡意的客戶端代碼，經過惡意腳本對客戶端網頁進行篡改，從而在用戶瀏覽網頁時，對用戶瀏覽器進行控制或者獲取用戶隱私數據的一種攻擊方式。

攻擊者對客戶端網頁注入的惡意腳本通常包括 JavaScript，有時也會包含 HTML 和 Flash。有不少種方式進行 XSS 攻擊，但它們的共同點爲：將一些隱私數據像 cookie、session 發送給攻擊者，將受害者重定向到一個由攻擊者控制的網站，在受害者的機器上進行一些惡意操做。

XSS 攻擊能夠分爲 3 類：反射型（非持久型）、存儲型（持久型）、基於 DOM。

XSS 主要是經過輸入框等形式提交 js 腳本，最終在頁面上被執行。

XSS 攻擊的防範

如今主流的瀏覽器內置了防範 XSS 的措施，例如 CSP。但對於開發者來講，也應該尋找可靠的解決方案來防止 XSS 攻擊。

HttpOnly 防止劫取 Cookie

HttpOnly 最先由微軟提出，至今已經成爲一個標準。瀏覽器將禁止頁面的 Javascript 訪問帶有 HttpOnly 屬性的 Cookie。

上文有說到，攻擊者能夠經過注入惡意腳本獲取用戶的 Cookie 信息。一般 Cookie 中都包含了用戶的登陸憑證信息，攻擊者在獲取到 Cookie 以後，則能夠發起 Cookie 劫持攻擊。因此，嚴格來講，HttpOnly 並不是阻止 XSS 攻擊，而是能阻止 XSS 攻擊後的 Cookie 劫持攻擊。

輸入檢查

不要相信用戶的任何輸入。 對於用戶的任何輸入要進行檢查、過濾和轉義。創建可信任的字符和 HTML 標籤白名單，對於不在白名單之列的字符或者標籤進行過濾或編碼。

在 XSS 防護中，輸入檢查通常是檢查用戶輸入的數據中是否包含 <，> 等特殊字符，若是存在，則對特殊字符進行過濾或編碼，這種方式也稱爲 XSS Filter。

而在一些前端框架中，都會有一份 decodingMap， 用於對用戶輸入所包含的特殊字符或標籤進行編碼或過濾，如 <，>，script，防止 XSS 攻擊：

// vuejs 中的 decodingMap
// 在 vuejs 中，若是輸入帶 script 標籤的內容，會直接過濾掉
const decodingMap = {
  '&lt;': '<',
  '&gt;': '>',
  '&quot;': '"',
  '&amp;': '&',
  '&#10;': '\n'
}
複製代碼

輸出檢查

用戶的輸入會存在問題，服務端的輸出也會存在問題。通常來講，除富文本的輸出外，在變量輸出到 HTML 頁面時，可使用編碼或轉義的方式來防護 XSS 攻擊。例如利用 sanitize-html 對輸出內容進行有規則的過濾以後再輸出到頁面中。

CSRF (Cross Site Request Forgery)

CSRF，即 Cross Site Request Forgery，中譯是跨站請求僞造，是一種劫持受信任用戶向服務器發送非預期請求的攻擊方式。

一般狀況下，CSRF 攻擊是攻擊者藉助受害者的 Cookie 騙取服務器的信任，能夠在受害者絕不知情的狀況下以受害者名義僞造請求發送給受攻擊服務器，從而在並未受權的狀況下執行在權限保護之下的操做。

在用戶已經登陸目標站的前提下，訪問到了攻擊者的釣魚網站，攻擊者直接經過 url 調用目標站的接口，僞造用戶的行爲進行攻擊，一般這個行爲用戶是不知情的。

CSRF 攻擊的防範

當前，對 CSRF 攻擊的防範措施主要有以下幾種方式。

驗證碼

驗證碼被認爲是對抗 CSRF 攻擊最簡潔而有效的防護方法。

從上述示例中能夠看出，CSRF 攻擊每每是在用戶不知情的狀況下構造了網絡請求。而驗證碼會強制用戶必須與應用進行交互，才能完成最終請求。由於一般狀況下，驗證碼可以很好地遏制 CSRF 攻擊。

但驗證碼並非萬能的，由於出於用戶考慮，不能給網站全部的操做都加上驗證碼。所以，驗證碼只能做爲防護 CSRF 的一種輔助手段，而不能做爲最主要的解決方案。

Referer Check

根據 HTTP 協議，在 HTTP 頭中有一個字段叫 Referer，它記錄了該 HTTP 請求的來源地址。經過 Referer Check，能夠檢查請求是否來自合法的"源"。

好比，若是用戶要刪除本身的帖子，那麼先要登陸 www.c.com，而後找到對應的頁面，發起刪除帖子的請求。此時，Referer 的值是 www.c.com；當請求是從 www.a.com 發起時，Referer 的值是 www.a.com 了。所以，要防護 CSRF 攻擊，只須要對於每個刪帖請求驗證其 Referer 值，若是是以 www.c.com 開頭的域名，則說明該請求是來自網站本身的請求，是合法的。若是 Referer 是其餘網站的話，則有多是 CSRF 攻擊，能夠拒絕該請求。

針對上文的例子，能夠在服務端增長以下代碼：

if (req.headers.referer !== 'http://www.c.com:8002/') {
    res.write('csrf 攻擊');
    return;
}
複製代碼

Referer Check 不只能防範 CSRF 攻擊，另外一個應用場景是 "防止圖片盜鏈"。

添加 token 驗證

CSRF 攻擊之因此可以成功，是由於攻擊者能夠徹底僞造用戶的請求，該請求中全部的用戶驗證信息都是存在於 Cookie 中，所以攻擊者能夠在不知道這些驗證信息的狀況下直接利用用戶本身的 Cookie 來經過安全驗證。要抵禦 CSRF，關鍵在於在請求中放入攻擊者所不能僞造的信息，而且該信息不存在於 Cookie 之中。能夠在 HTTP 請求中以參數的形式加入一個隨機產生的 token，並在服務器端創建一個攔截器來驗證這個 token，若是請求中沒有 token 或者 token 內容不正確，則認爲多是 CSRF 攻擊而拒絕該請求。

總結

本文主要介紹了 XSS 和 CSRF 的攻擊原理和防護措施。固然，在 Web 安全領域，除了這兩種常見的攻擊方式，也存在這 SQL 注入等其它攻擊方式，這不在本文的討論範圍以內，若是你對其感興趣，能夠閱讀 SQL 注入技術專題的專欄詳細瞭解相關信息。最後，總結一下 XSS 攻擊和 CSRF 攻擊的常見防護措施：

1. 防護 XSS 攻擊
   • HttpOnly 防止劫取 Cookie
   • 用戶的輸入檢查
   • 服務端的輸出檢查
2. 防護 CSRF 攻擊
   • 驗證碼
   • Referer Check
   • Token 驗證