酷应用

如何在Node.js中防范跨站脚本攻击

百家 作者:51CTO技术栈 2022-08-11 21:39:03
译者 | 陈峻
审校 | 孙淑娟
本文将向您简单介绍跨站点脚本(XSS)攻击的基本原理,以及如何在Node.js中防范此类攻击。

作为一种安全漏洞,跨站点脚本(Cross-site scripting,XSS)是指攻击者使用客户端的代码,在目标网站上注入恶意脚本的一种方式。由于攻击者可以使用它来冒充用户、访问敏感数据,甚至更改网站的页面内容,因此它对用户、站点构成了严重的威胁。

截至2021年,此类风险在25个最危险的常见漏洞列表中排名第二。对此,我们往往需要在创建与维护网站时,事先对其有充分的了解,并做好相应的防范。



  PART 01  

 跨站点脚本的工作原理 




在了解跨站点脚本的工作原理之前,让我们先来了解同源策略(same-origin policy,SOP)的含义。SOP是一种安全机制策略,它能够限制一个网站(一个来源)去读取或写入另一个网站(其他来源)。因此,它可以从根源上防止恶意网站向受信任的网站发送恶意代码。

跨站点脚本攻击通常会利用浏览器无法区分合法HTML和恶意代码的特点,来绕过同源策略。例如,攻击者可以直接将JavaScript代码注入目标网站。而一旦用户的浏览器执行此类代码,那么攻击者便可以获取针对会话令牌、Cookie和其他敏感数据的访问权限。

目前,攻击者往往会使用反射、存储和基于DOM三种类型的跨站点脚本,对目标网站开展攻击。



  PART 02  

 反射型XSS 




反射型XSS是将JavaScript直接注入用户的输入字段。此类JavaScript可能是Echo、重定向或Cookie收集器。例如,攻击者将脚本插入到目标的搜索词中,产生诸如搜索结果等,针对获取数据库数据的请求。一旦目标客户端提交了此类查询,那么被注入其中的脚本就会立即被触发执行。例如,在用户搜索期间,攻击者可能会插入一个响应表单的JavaScript,要求受害者输入他们的密码或用户名。那么一旦用户认为这是来自原始站点的请求,并跟着操作,就可能在不知不觉中将其信任凭据提交给了攻击者。有时,攻击者还可以使用脚本,将用户从易受攻击的页面,重定向到恶意构建的页面上,同样以提交表单的方式,套取信任凭据。



  PART 03  

 存储型XSS 




与反射型XSS不同,存储型XSS以易受攻击网站的整个用户群为目标。攻击者通过将脚本存储在网站的数据库中,在页面加载时,触发存储脚本的持久执行,从而对网站的整体完整性产生影响。



  PART 04  

 基于DOM的XSS 




存储和反射型XSS往往以网站上的服务器端请求为目标,而基于DOM的XSS则是以运行时的活动为目标。它通过将脚本插入到执行特定任务的网站组件中,以改变其原始意图。此类组件通常会执行更改网站元素等,与DOM相关的任务,让网页变得反应异常。



  PART 05  

 如何防范Node中的跨站点脚本 




您通常可以采取如下步骤,来防范Node.js中的跨站点脚本:

净化输入

由于攻击者必须能够将数据发送到目标Web应用,并将其推送给用户,才能执行XSS攻击,因此,您需要采取的第一种预防措施便是:对所有从用户处输入到Web应用的数据予以净化。它可以保证服务器端在根据用户输入执行后续操作之前,检测并剔除各种虚假、恶意的“脏”数据。您既可以手动执行此类操作,也可以使用验证器(validator)之类的工具,来加快整体的处理速度。如下代码段所示,您可以使用验证器来转义用户输入中的HTML标签:
importvalidatorfrom"validator";
letuserInput=`Jane<scriptonload="alert('XSShack');"></script>`;
letsanitizedInput=validator.escape(userInput);
左右滑动查看完整代码

一旦您运行了上述代码,其净化后的输出结果为如下:
Jane&lt;scriptonload=&quot;alert(&#x27;XSShack&#x27;);&quot;&gt;&lt;&#x2F;script&gt;
左右滑动查看完整代码

限制用户的输入

通过验证来限制用户在表单中可以提交的输入类型。例如,如果您提供一个电子邮件的输入字段,那么就只允许用户输入正常的电子邮件格式。据此,您可以最大限度地减少攻击者提交不良数据的可能。当然,您也可以在此使用验证器的相关代码包。

实施HTTP-only的Cookie策略

在浏览器中,Cookie会将数据存储在本地的缓存中,并通过HTTP的方式,将其发送回服务器。不过,它们也很容易成为被攻击的目标。攻击者完全可以使用JavaScript,通过浏览器去访问它们。

HTTP-only的Cookie是防止客户端脚本去访问Cookie里的数据的一种策略。也就是说,即使您的Web应用包含有可被攻击者利用的漏洞,他们也无法据此访问到Cookie。下面是如何使用Express在Node.js中,实现HTTP-only的Cookie策略的示例:
app.use(express.session({
secret: "secret",
cookie: {
httpOnly: true,
   secure: true
}
}))
如上述代码段所示,如果攻击者试图去访问某个已经将httpOnly标签设置为true的Cookie,那么他们只能收到一个空的字符串。



  PART 06  

 小结 




常言道:知易行难。大多数Web应用运维者都知道网站安全的重要性,但是在实施过程中往往会碰到各种复杂的状况。在上文中,我向您简单介绍了跨站点脚本攻击的基本原理,以及如何在Node.js中防范此类攻击。希望上述内容能够给您的网站加固实践提供帮助。

原文链接:

https://www.makeuseof.com/prevent-cross-site-scripting-in-nodejs/



译者介绍

陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验;持续以博文、专题和译文等形式,分享前沿技术与新知;经常以线上、线下等方式,开展信息安全类培训与授课。


51CTO技术社群招募啦


结识技术大咖,提升IT技能
畅谈开发梦想,拓展人脉资源
参与话题讨论,赢取互动好礼
扫码添加小助手,立即加入社群




点击此处“阅读全文”查看精彩内容

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

*文章为作者独立观点,不代表 爱尖刀 立场
本文由 51CTO技术栈发表,转载此文章须经作者同意,并请附上出处( 爱尖刀 )及本页链接。
原文链接 https://www.ijiandao.com/2b/baijia/440130.html
图库
51CTO技术栈 51CTO技术栈
公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接
百度热搜榜
排名 热点 搜索指数
iTrust
AiDeep Ued
关于我们 联系我们 升级日志 法律声明 广告服务 侵删通道
Copyright © 2021 K2CMS All rights reserved.
京ICP备14006288号