跨站脚本攻击的XSS防御规则
下列规则旨在防止所有发生在应用程序的XSS攻击,虽然这些规则不允许任意向HTML文档放入不可信数据,不过基本上也涵盖了绝大多数常见的情况。你不需要采用所有规则,很多企业可能会发现第一条和第二条就已经足以满足需求了。请根据自己的需求选择规则。 – 不要在允许位置插入不可信数据
第一条规则就是拒绝所有数据,不要将不可信数据放入HTML文档,除非是下列定义的插槽。这样做的理由是在理列有解码规则的HTML中有很多奇怪的context,让事情变得很复杂,因此没有理由将不可信数据放在这些context中。
<script>...NEVERPUTUNTRUSTEDDATAHERE...</script> directlyinascript <!--...NEVERPUTUNTRUSTEDDATAHERE...--> insideanHTMLcomment <div...NEVERPUTUNTRUSTEDDATAHERE...=test/> inanattributename <...NEVERPUTUNTRUSTEDDATAHERE...href=/test/> inatagname
更重要的是,不要接受来自不可信任来源的JavaScript代码然后运行,例如,名为“callback”的参数就包含JavaScript代码段,没有解码能够解决。 – 在向HTML元素内容插入不可信数据前对HTML解码
这条规则适用于当你想把不可信数据直接插入HTML正文某处时,这包括内部正常标签(div、p、b、td等)。大多数网站框架都有HTML解码的方法且能够躲开下列字符。但是,这对于其他HTML context是远远不够的,你需要部署其他规则。
<body>...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE... </body> <div>...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...</div> 以及其他的HTML常用元素
使用HTML实体解码躲开下列字符以避免切换到任何执行内容,如脚本、样式或者事件处理程序。在这种规格中推荐使用十六进制实体,除了XML中5个重要字符(&、<、 >、 、 ')外,还加入了斜线符,以帮助结束HTML实体。
&-->& <-->< >-->> --> '-- >''isnotrecommended /-- >/forwardslashisincludedasithelpsendanHTMLentity – 在向HTML常见属性插入不可信数据前进行属性解码
这条规则是将不可信数据转化为典型属性值(如宽度、名称、值等),这不能用于复杂属性(如href、src、style或者其他事件处理程序)。这是及其重要的规则,事件处理器属性(为HTML JavaScript Data Values)必须遵守该规则。
<divattr=...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...>content</div> insideUNquotedattribute <divattr='...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...'>content</div> insidesinglequotedattribute <divattr=...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...>content</div> insidedoublequotedattribute
除了字母数字字符外,使用小于256的ASCII值&#xHH格式(或者命名的实体)对所有数据进行解码以防止切换属性。这条规则应用广泛的原因是因为开发者常常让属性保持未引用,正确引用的属性只能使用相应的引用进行解码。未引用属性可以被很多字符破坏,包括[space] % * + , - / ; < = > ^ 和 |。 – 在向HTML JavaScript Data Values插入不可信数据前,进行JavaScript解码
这条规则涉及在不同HTML元素上制定的JavaScript事件处理器。向这些事件处理器放置不可信数据的唯一安全位置就是“data value”。在这些小代码块放置不可信数据是相当危险的,因为很容易切换到执行环境,因此请小心使用。
<script>alert('...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...')</script> insideaquotedstring <script>x=...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...</script> onesideofanexpression <divonmouseover=...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...</div> insideUNquotedeventhandler <divonmouseover='...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...'</div> insidequotedeventhandler <divonmouseover=...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...</div> insidequotedeventhandler
除了字母数字字符外,使用小于256的ASCII值xHH格式 对所有数据进行解码以防止将数据值切换至脚本内容或者另一属性。不要使用任何解码捷径(如 )因为引用字符可能被先运行的HTML属性解析器相匹配。如果事件处理器被引用,则需要相应的引用来解码。这条规则的广泛应用是因为开发者经常让事件处理器保持未引用。正确引用属性只能使用相应的引用来解码,未引用属性可以使用任何字符(包括[space] % * + , - / ; < = > ^ 和|)解码。同时,由于HTML解析器比JavaScript解析器先运行,关闭标签能够关闭脚本块,即使脚本块位于引用字符串中。 – 在向HTML 样式属性值插入不可信数据前,进行CSS解码
当你想将不可信数据放入样式表或者样式标签时,可以用此规则。CSS是很强大的,可以用于许多攻击。因此,只能在属性值中使用不可信数据而不能在其他样式数据中使用。不能将不可信数据放入复杂的属性(如url,、behavior、和custom (-moz-binding))。同样,不能将不可信数据放入允许JavaScript的IE的expression属性值。
<style>selector{property:...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...;}</style> propertyvalue <spanstyle=property:...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...;>text</style> propertyvalue
除了字母数字字符外,使用小于256的ASCII值HH格式对所有数据进行解码。不要使用任何解码捷径(如 )因为引用字符可能被先运行的HTML属性解析器相匹配,防止将数据值切换至脚本内容或者另一属性。同时防止切换至expression或者其他允许脚本的属性值。如果属性被引用,将需要相应的引用进行解码,所有的属性都应该被引用。未引用属性可以使用任何字符(包括[space] % * + , - / ; < = > ^ 和|)解码。同时,由于HTML解析器比JavaScript解析器先运行,</script>标签能够关闭脚本块,即使脚本块位于引用字符串中。 - 在向HTML URL属性插入不可信数据前,进行URL解码
当你想将不可信数据放入链接到其他位置的link中时需要运用此规则。这包括href和src属性。还有很多其他位置属性,不过我们建议不要在这些属性中使用不可信数据。需要注意的是在javascript中使用不可信数据的问题,不过可以使用上述的HTML JavaScript Data Value规则。
<ahref=http://...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...>link</a> anormallink <imgsrc='http://...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE...'/> animagesource <scriptsrc=http://...ESCAPEUNTRUSTEDDATABEFOREPUTTINGHERE.../> ascriptsource
除了字母数字字符外,使用小于256的ASCII值%HH 解码格式对所有数据进行解码。在数据中保护不可信数据:URL不能够被允许,因为没有好方法来通过解码来切换URL以避免攻击。所有的属性都应该被引用。未引用属性可以使用任何字符(包括[space] % * + , - / ; < = > ^ 和|)解码。 请注意实体编码在这方面是没用的。
