WEB攻击与安全策略

攻击 xss攻击

也叫跨站脚本攻击

本质

恶意代码未经过滤，与网站正常的代码混在一起，浏览器无法分辨哪些脚本是可信的，导致恶意脚本被执行。

由于直接在用户的终端执行，恶意代码能够直接获取用户的信息，利用这些信息冒充用户向网站发起攻击者定义的请求。

利用了用户对特定 Web 应用程序的信任

分类 1. 反射型XSS

描述:

反射型 XSS 漏洞常见于通过 URL 传递参数的功能，如网站搜索、跳转等。由于需要用户主动打开恶意的 URL 才能生效，攻击者往往会结合多种手段诱导用户点击。

防范：

使用encodeURIComponent对url中的参数进行编码

2. DOM型状XSS

描述：

在使用 .innerHTML、.outerHTML、.appendChild、document.write()等API时，用户容易把不可信的数据作为 HTML 插到页面上。

防范：

可以使用DOMPurify把脏字符串转化为干净字符串尽量使用 .innerText、.textContent、.setAttribute() 等。 3. 存储型XSS

描述:

恶意脚本永久存储在目标服务器上。当浏览器请求数据时，脚本从服务器传回并执行，影响范围比反射型和DOM型XSS更大。

攻击的原因

没有做好数据过滤：前端提交数据至服务端时，没有做好过滤；服务端在接受到数据时，在存储之前，没有做过滤；前端从服务端请求到数据，没有过滤输出。

防范：

前端数据传递给服务器之前，先转义/过滤(防范不了抓包修改数据的情况)服务器接收到数据，在存储到数据库之前，进行转义/过滤前端接收到服务器传递过来的数据，在展示到页面前，先进行转义/过滤 csrf攻击

也叫跨站请求伪造攻击

本质

它强制经过身份验证的用户向当前对其进行身份验证的 Web 应用程序提交请求。利用了 Web 应用程序对经过身份验证的用户的信任。

如果 CSRF 攻击无法区分单个用户生成的请求和未经用户同意而生成的请求，则它会利用 Web 应用程序中的漏洞

如何工作？

强制用户提交状态更改请求。

例如：

提交或删除记录。提交交易。购买产品。更改密码。发送消息。 防范：

通过 CSRF 令牌，CSRF 令牌是用于防止 CSRF 攻击的安全随机令牌。令牌是唯一的，并且应该具有很大的随机值以使其难以猜测。

CSRF 安全应用程序为每个用户会话分配一个唯一的 CSRF 令牌。这些标记被插入到与关键服务器端 *** 作相关的 HTML 表单的隐藏参数中。然后将它们发送到客户端浏览器。

DOMPurify

参考：
https://github.com/cure53/DOMPurify

下载

npm i dompurify

引入

import DOMPurify from 'dompurify'

将脏字符串转化为干净字符串

const res = DOMPurify.sanitize(this.str)

例子：

// 插值表达式 // template 代表组件要渲染的结构
<template>
  <div id="app">
    <!-- 解析标签 -->
    <!-- 不安全 -->
    <div v-html="str"></div>
    <!-- 安全 -->
    <div v-html="clean()"></div>
  </div>
</template>

// script 用于提供组件的逻辑代码，需要默认导出一个对象
<script>
import DOMPurify from 'dompurify'
export default {
  data() {
    return {
      str: ''
    }
  },
  methods: {
    clean() {
      const res = DOMPurify.sanitize(this.str)
      console.log(res)
      return res
    }
  }
}
</script>

// style 用于提供组件的样式
<style></style>

CSP安全策略

参考：
https://content-security-policy.com/

https://blog.csdn.net/weixin_47450807/article/details/123224654

介绍

CSP 本质上就是建立白名单，开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则，如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。

分类 Content-Security-Policy
配置好并启用后，不符合CSP的外部资源就会被阻止加载Content-Security-Policy-Report-Only
表示不执行限制选项，只是记录违反限制的行为。它必须与resport-uri选项配合使用 开启方式

通常可以通过两种方式来开启 CSP：

设置 HTTP Header 中的 Content-Security-Policy

"Content-Security-Policy":策略
"Content-Security-Policy-Only":策略

设置 meta 标签的方式

<meta http-equiv="Content-Security-Policy" content="script-src 'self'">

如果HTTP头与Meta定义同时存在，则优先采用HTTP中的定义

写法

例如

// 限制所有的外部资源，都只能从当前域名加载
Content-Security-Policy: default-src 'self'

// default-src 是 CSP 指令，多个指令之间用英文分号分割；多个指令值用英文空格分割
Content-Security-Policy: default-src https://host1.com https://host2.com; frame-src 'none'; object-src 'none'  

// 错误写法，第二个指令将会被忽略
Content-Security-Policy: script-src https://host1.com; script-src https://host2.com

// 正确写法如下
Content-Security-Policy: script-src https://host1.com https://host2.com

// 通过report-uri指令指示浏览器发送JSON格式的拦截报告到某个地址
Content-Security-Policy: default-src 'self'; ...; report-uri /my_amazing_csp_report_parser;