在 Node.js 中如何防止跨站点脚本攻击
|
作为一种安全漏洞,跨站点脚本(Cross-site scripting,XSS)是指攻击者使用客户端的代码,在目标网站上注入恶意脚本的一种方式。由于攻击者可以使用它来冒充用户、访问敏感数据,甚至更改网站的页面内容,因此它对用户、站点构成了严重的威胁。 1.跨站点脚本的工作原理 在了解跨站点脚本的工作原理之前,让我们先来了解同源策略(same-origin policy,SOP)的含义。SOP是一种安全机制策略,它能够限制一个网站(一个来源)去读取或写入另一个网站(其他来源)。因此,它可以从根源上防止恶意网站向受信任的网站发送恶意代码。 2.反射型XSS 反射型XSS是将JavaScript直接注入用户的输入字段。此类JavaScript可能是Echo、重定向或Cookie收集器。例如,攻击者将脚本插入到目标的搜索词中,产生诸如搜索结果等,针对获取数据库数据的请求。一旦目标客户端提交了此类查询,那么被注入其中的脚本就会立即被触发执行。 3.存储型XSS 与反射型XSS不同,存储型XSS以易受攻击网站的整个用户群为目标。攻击者通过将脚本存储在网站的数据库中,在页面加载时,触发存储脚本的持久执行,从而对网站的整体完整性产生影响。 4.基于DOM的XSS 存储和反射型XSS往往以网站上的服务器端请求为目标,而基于DOM的XSS则是以运行时的活动为目标。它通过将脚本插入到执行特定任务的网站组件中,以改变其原始意图。此类组件通常会执行更改网站元素等,与DOM相关的任务,让网页变得反应异常。 5.如何防范Node中的跨站点脚本 您通常可以采取如下步骤,来防范Node.js中的跨站点脚本: 由于攻击者必须能够将数据发送到目标Web应用,并将其推送给用户,才能执行XSS攻击,因此,您需要采取的第一种预防措施便是:对所有从用户处输入到Web应用的数据予以净化。它可以保证服务器端在根据用户输入执行后续操作之前,检测并剔除各种虚假、恶意的“脏”数据。您既可以手动执行此类操作,也可以使用验证器(validator)之类的工具,来加快整体的处理速度。如下代码段所示,您可以使用验证器来转义用户输入中的HTML标签: importvalidatorfrom"validator"; letuserInput=`Jane<scriptonload="alert('XSShack');"></script>`; letsanitizedInput=validator.escape(userInput); 一旦您运行了上述代码,其净化后的输出结果为如下: Jane<scriptonload="alert('XSShack');"></script> 通过验证来限制用户在表单中可以提交的输入类型。例如,如果您提供一个电子邮件的输入字段,那么就只允许用户输入正常的电子邮件格式。据此,您可以最大限度地减少攻击者提交不良数据的可能。当然,您也可以在此使用验证器的相关代码包。 HTTP-only的Cookie是防止客户端脚本去访问Cookie里的数据的一种策略。也就是说,即使您的Web应用包含有可被攻击者利用的漏洞,他们也无法据此访问到Cookie。下面是如何使用Express在Node.js中,实现HTTP-only的Cookie策略的示例: app.use(express.session({ secret: "secret", cookie: { httpOnly: true, secure: true } })) 如上述代码段所示,如果攻击者试图去访问某个已经将httpOnly标签设置为true的Cookie,那么他们只能收到一个空的字符串。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
