一、前言

随着互联网的高速发展，信息安全问题已经成为企业最为关注的焦点之一，而前端又是引发企业安全问题的高危据点。在移动互联网时代，前端人员除了传统的 XSS、CSRF 等安全问题之外，又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然，浏览器自身也在不断在进化和发展，不断引入 CSP、Same-Site Cookies 等新技术来增强安全性，但是仍存在很多潜在的威胁，这需要前端技术人员不断进行“查漏补缺”。

二、XSS定义

在给大家介绍xss前，大家先来看一个例子：

<html>
    <title>Welcome!</title>
     Hi
    <script>
        var pos=document.URL.indexOf("name=")+5;
        document.write(document.URL.substring(pos,document.URL.length));
    </script>
    Welcome to you
</html>

这个例子是个欢迎页面，name是截取URL中get过来的name参数
正常操作：
http://域名A/welcome.html?name=Joe

非正常操作：
http://域名A/welcome.html?name=<script>alert(document.cookie)</script>

当执行非正常操作时：

完了，我们的cookie数据被截取了，XSS攻击出现了。

为什么会这样呢？我们来看一下：
1、受害者的浏览器接收到这个非正常操作的链接，发送HTTP请求到域名A并且接受到上面的HTML页；
2、受害者的浏览器开始解析这个HTML为DOM，DOM包含一个对象叫document，document里面有个URL属性，这个属性里填充着当前页面的URL；
3、当解析器到达javascript代码，它会执行它并且修改你的HTML页面。倘若代码中引用了document.URL，那么，这部分字符串将会在解析时嵌入到HTML中，然后立即解析，同时，javascript代码会找到(alert(…))并且在同一个页面执行它，这就产生了xss。

那么什么是XSS呢？
xss跨站脚本攻击(Cross Site Scripting)，指攻击者在网页中嵌入脚本代码(例如js代码), 当用户浏览此网页时，脚本就会在用户的浏览器上执行，从而达到攻击者的目的。比如获取用户的Cookie，导航到恶意网站,携带木马等。
大部分的xss漏洞都是由于没有处理好用户的输入，导致攻击脚本在浏览器中执行，这就是跨站脚本漏洞的根源。

三、XSS攻击类型

XSS攻击分为存储型、反射型和 DOM 型三种。

1、存储型 XSS
a： 攻击者将恶意代码提交到目标网站的数据库中。
b： 用户打开目标网站时，网站服务端将恶意代码从数据库取出，拼接在 HTML 中返给浏览器。
c: 用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行。
d: 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。
简单例子：
表单中填写数据：

<input type=“text” name=“content” value=“这里是用户填写的数据”>

正常操作：
1、用户是提交相应留言信息；
2、将数据存储到数据库；
3、其他模块要显示保存的数据，从数据库查询出来并显示。
非正常操作：
1、攻击者在value填写<script>alert(‘foolish!’)</script>【或者html其他标签（破坏样式。。。）、一段攻击型代码】；
2、将数据存储到数据库中；
3、其他用户取出数据显示的时候，将会执行这些攻击性代码

这种攻击常见于带有用户保存数据的网站功能，如论坛发帖、商品评论、用户私信等。

2、反射型 XSS
a： 攻击者构造出特殊的 URL，其中包含恶意代码。
b： 用户打开带有恶意代码的 URL 时，网站服务端将恶意代码从 URL 中取出，拼接在 HTML 中返回给浏览器。
c: 用户浏览器接收到响应后解析执行，混在其中的恶意代码也被执行。
d: 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网站接口执行攻击者指定的操作。
简单例子：
正常发送消息：
http://域名A/message.html?message=Hello,World！
接收者将会接收信息并显示Hello,Word
非正常发送消息：
http://域名A/message.html?message=<script>alert(document.cookie)</script>
接收者接收消息显示的时候将会弹出警cookie信息

反射型 XSS 跟存储型 XSS 的区别是：存储型 XSS 的恶意代码存在数据库里，反射型 XSS 的恶意代码存在 URL 里。
反射型 XSS 漏洞常见于通过 URL 传递参数的功能，如网站搜索、跳转等。由于需要用户主动打开恶意的 URL 才能生效，攻击者往往会结合多种手段诱导用户点击。POST 的内容也可以触发反射型 XSS，只不过其触发条件比较苛刻（需要构造表单提交页面，并引导用户点击），所以非常少见。

3、DOM 型 XSS
a： 攻击者构造出特殊的 URL，其中包含恶意代码。
b： 用户打开带有恶意代码的 URL。
c: 用户浏览器接收到响应后解析执行，前端 JavaScript 取出 URL 中的恶意代码并执行。
d: 恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用目标网 站接口执行攻击者指定的操作。
简单例子：

<script>
document.body.innerHTML="<div style=visibility:visible;><h1>This is DOM XSS</h1></div>";
</script>

攻击者可以利用innerHTML来篡改页面
DOM 型 XSS 跟前两种 XSS 的区别：DOM 型 XSS 攻击中，取出和执行恶意代码由浏览器端完成，属于前端 JavaScript 自身的安全漏洞，而其他两种 XSS 都属于服务端的安全漏洞。

四、如何预防XSS攻击

1、输入过滤，对用户提交的数据进行有效性验证，仅接受指定长度范围内并符合我们期望格式的的内容提交，阻止或者忽略除此外的其他任何数据。比如：电话号码必须是数字和中划线组成，而且要设定长度上限。过滤一些些常见的敏感字符，例如：< > ‘ “ & # \ javascript expression  “onclick=”  “onfocus”；过滤或移除特殊的Html标签， 例如: <script>, <iframe> ,  < for <, > for >, &quot for；过滤JavaScript 事件的标签，例如 “onclick=”, “onfocus” 等等。

例子1：

<input  v-model="value"  type="text" />

Input输入值带有html标签时，如value=”<b>aaaaaaaa</b>”，调接口提交到后台的没有做HtmlEncode转码，那么面页输出的将会是: aaaaaaaa粗体。原理是因为提交的内容里带有html标签<b></b>。浏览器解析页面源码时把用户提交的内容当成了html代码。所以才会输出粗体的 aaaaaaaa。
解决方案：
A：前端提交前转码：encodeHtml(value);
B：后端java转码：Encoder.encodeHtml(value)；如果是Param类，直接使用.getHtmlString(key)。

例子2：
提交的数据url编码，数据提交时一定要对传参数的数进行URLencode处理，假如提交内容 aaaa&344353中文啊&&&&aaa=bbbb&&&fsdfsdsdf，如果没有通过 URLencode处理的话，那么提交的链接自然是http://www.baidu.com/?val=aaaa&344353中文啊&&&&aaa=bbbb&&&fsdfsdsdf
这样后台取得的val的值会是aaaa。并且还会有一个aaa=bbbb。主要造成这现象的原因是提交的内容包含了"&“和”="，没有对这些特殊的字符做转义处理，所以造成了后台取参错误。
解决方案：
A：前端提交参数前：encodeUrl(url);
B：后端拿到数据进行编码：Encoder.encodeURL(url);

其他例子解决方案：
A：对输入的数据限制长度范围；

<input v-model="value" maxlength="20" type="text" />

B：对输入的数据进行校验（正则表达式）

var re = /^[a-zA-z]\w{3,15}$/;
If(re.test(value)){
return true;
}else{
return false;
}

2、输出编码，当需要将一个字符串输出到Web网页时，同时又不确定这个字符串中是否包括XSS特殊字符（如< > &‘”等），为了确保输出内容的完整性和正确性，可以使用编码（HTMLEncode）进行处理。
例子1：
输出js数据时，要先编码，否则有可能因为"等造成截断。如var a = ‘<%=aString %>’;假如aString的值是"aa’;alert();’"。没有encodeJs的页面就会执行alert了。而有encodeJs的页面则会把输出内容里的单引号都替换成：\x22，双引号替换成\x27。这样就不会造成js里的引号截断了。
解决方案：
A：前端JS函数：$.toJSON(html);
B：后端java函数：Encoder.encodeJson(html);如果是Param类，直接使用.getJsonString(key)。

例子2：
<a href=”url”>跳转链接</a>
java处理代码时获取url参数并且不做任何处理，直接在html标签的事件中植入攻击代码。
当用户访问的链接是xxx/sigup.jsp?url=");alert(document.cookie)😭";
点击跳转链接按钮的时候，就会弹出cookie的信息

解决方案：
A：前端把href换成onclick方法：
Html:

<a onclick=”openUrl(url)”>跳转链接</a>

Js:

Function openUrl(url) {
url = encodeUrl(url)；
Window.location.href = url;
}

B：后台调用方法： Encoder.encodeURL(value2);
如果是Param类，直接使用.getUrlString(key)。

其他案例：
A：把字符串转换为写在html标签中属性值：
字符串是输出在html标签中的属性里，所以首先要防止字符串里的引号造成属性的引号截断。所以至少字符串里的引号就要转义了。当然，还有额外的一些特殊字符也是要转义的。
解决方案：
js函数：encodeHtmlAttr(html);
 java函数 ：Encoder.encodeHtmlAttr(html)；如果是Param类，直接使用getHtmlAttrString；
如果是输出在js里初始化的话，尽量使用jquery的attr/val等函数来赋值( encode json 数据 )，降低复杂度。
B： input-text用例  ：<s>a&aa</s>'b"c
在页面中直接初始化时，要使用：<input value="<%=Encoder.encodeHtml(str)%>"/>
在JS中初始化时，要使用：$("#xxx").val("<%=Encoder.encode.Json(str)%>");
C：  textarea用例 ：
<textarea><s>a&aa</s>'b"c</textarea>bbb，不在页面中直接初始化textarea。
在JS中初始化：$("#xxx").val("<%=Encoder.encodeJson(str)%>")

3、DOM型的XSS攻击防御，把变量输出到页面时要做好相关的编码转义工作，如要输出到 <script>中，可以进行JS编码；要输出到HTML内容或属性，则进行HTML编码处理。根据不同的语境采用不同的编码处理方式。
例子：
当用户访问路径为xxx/pr.jsp?keywordCond=aaa");alert(document.cookie)😭"时候，直接scripts.append输出：scripts.append(keywordCond)，就会弹出cookie的信息。

解决方案：
A：在append前，将keywordCond进行编码

keywordCond = encodeUrlComponent(keywordCond)；
scripts.append(keywordCond)

B：后台调用方法：

String keywordCond = Encoder.encodeHtmlJs(keywordCond);

1、将重要的cookie标记为http only,   这样的话当浏览器向Web服务器发起请求的时就会带上cookie字段，但是在脚本中却不能访问这个cookie，这样就避免了XSS攻击利用JavaScript的document.cookie获取cookie。
例子：
A：Tomcat服务器，在Tomcat下的conf的web.xml设置如下信息。

<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
<session-config>

B：resin服务器，在resin.conf下设置session信息。

<session-config>
<enable-cookies>true</enable-cookies>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>

五、总结

XSS的攻击五花八门，毕竟那么多情况场景，开发人员无法一一照顾过来，我们前端和后端尽可能对提交数据做好过滤。开发人员要注意在正确的地方使用正确的编码方式，有时为了防御XSS，在一个地方我们需要联合HTMLEncode、JavaScriptEncode、URLEncode进行编码，甚至是叠加，并不是固定一种方式编码，具体情况具体分析。

针对XSS攻击类型，我们日常开发需要做好以下部分：
1.在HTML标签、属性中输出时，用HTMLEncode。
2.在script标签中输出时，用JavaScriptEncode。
3.在地址中输出一般如果变量是整个URL，则用URLEncode。
4.在提交数据前，做一些正则校验，或者在输入框中做一些限制。

六、参考资料

1、http://it.faisco.cn/page/forum/articleDetail.jsp?articleId=1656
2、http://web.jobbole.com/95312