XSS:Cross Site Script,本来简写是css,但为了区别样式表的css,因此在安全领域叫做“XSS”。
XSS攻击通常是指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。
?
HttpOnly最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie。目前主流浏览器都支持,HttpOnly解决是XSS后的Cookie支持攻击。
我们来看下百度有没有使用。
未登录时的Cookie信息
可以看到,所有Cookie都没有设置HttpOnly,现在我登录下
发现在个叫BDUSS的Cookie设置了HttpOnly。可以猜测此Cookie用于认证。
?
下面我用PHP来实现下:
?
<?php header("Set-Cookie: cookie1=test1;"); header("Set-Cookie: cookie2=test2;httponly",false); setcookie(‘cookie3‘,‘test3‘,NULL,NULL,NULL,NULL,false); setcookie(‘cookie4‘,‘test4‘,NULL,NULL,NULL,NULL,true); ?> <script> alert(document.cookie); </script>?
?
js只能读到没有HttpOnly标识的Cookie
?
?
?
?
$filter = new lib_filter(); echo $filter->go(‘1+1>1‘);
?
<?php $a = "<script>alert(1);</script>"; $b = "<img src=# onerror=alert(2) />"; ?> <div><?=$b?></div> <a href="#"><?=$a?></a>
<?php $a = "<script>alert(1);</script>"; $b = "<img src=# onerror=alert(2) />"; ?> <div><?=htmlentities($b)?></div> <a href="#"><?=htmlentities($a)?></a>?
<div id="div" name ="$var"></div>
$immune_htmlattr = array(‘,‘, ‘.‘, ‘-‘, ‘_‘); $this->htmlEntityCodec->encode($this->immune_htmlattr, "\"><script>123123;</script><\"");?
<?php $c = "1;alert(3)"; ?> <script type="text/javascript"> var c = <?=$c?>; </script>?
$immune = array(""); echo $this->javascriptCodec->encode($immune, "\"abc;alert(123);//");
<a href="#" onclick="funcA(‘$var‘)" >test</a>
<a href="#" onclick="funcA(‘‘);alter(/xss/;//‘)">test</a>
$immune = array(""); $this->cssCodec->encode($immune, ‘background:expression(window.x?0:(alert(/XSS/),window.x=1));‘);
$instance = ESAPI::getEncoder(); $instance->encodeForURL(‘url’);?
?
就像我写这篇博客,我几乎可以随意输入任意字符,插入图片,插入代码,还可以设置样式。这个时要做的就是设置好白名单,严格控制标签。能自定义 css件麻烦事,因此最好使用成熟的开源框架来检查。php可以使用htmlpurify<script> var x = "$var"; document.write("<a href=‘"+x+"‘>test</a>"); </script>
原文:http://lobert.iteye.com/blog/2164741