Skrip silang tapak (XSS) ialah ancaman utama kepada keselamatan aplikasi web kerana ia membenarkan penyerang menyuntik skrip berniat jahat ke dalam tapak web yang bereputasi. Serangan ini bergantung kepada pengguna yang tidak bersalah untuk mendedahkan maklumat penting atau berkemungkinan mendapat kawalan ke atas akaun mereka. Apabila aplikasi web menjadi lebih kompleks dan dinamik, memahami dan memerangi ancaman XSS adalah penting untuk mengekalkan postur keselamatan yang kukuh. Dalam artikel ini, kami akan melihat dengan lebih dekat serangan XSS dan melihat kemungkinan strategi pencegahan.
Apakah serangan XSS?
Serangan skrip merentas tapak (XSS) ialah risiko keselamatan biasa dalam aplikasi web. Penyerang mengeksploitasi kelemahan dalam halaman web untuk menyuntik dan melaksanakan skrip berniat jahat pada pelayar pengguna yang tidak curiga. Pembangun boleh melindungi aplikasi dan pengguna mereka dengan memahami pelbagai serangan XSS dan cara ia boleh dieksploitasi.
Pelbagai jenis serangan XSS
XSS yang dicerminkan - XSS yang dicerminkan berlaku apabila data yang dibekalkan pengguna serta-merta dimasukkan ke dalam output halaman web tanpa dibersihkan atau dikodkan dengan secukupnya. Penyerang mencipta URL atau borang berniat jahat untuk menipu pengguna supaya melaksanakan skrip yang disuntik secara tidak sengaja. Skrip berjalan dalam penyemak imbas mangsa, membenarkan penyerang mencuri maklumat sensitif atau melakukan tindakan yang tidak dibenarkan.
XSS yang disimpan - XSS yang disimpan, juga dikenali sebagai XSS berterusan, melibatkan suntikan skrip berniat jahat yang disimpan secara kekal pada pelayan sasaran. Skrip ini kemudiannya disampaikan kepada pengguna yang melawat halaman web atau sumber tertentu. Apabila pengguna yang tidak mengesyaki melihat halaman ini, skrip yang disuntik akan dilaksanakan, berpotensi menjejaskan akaun mereka atau mendedahkan data sensitif.
DOM_Based XSS - Serangan XSS berasaskan DOM menyasarkan Model Objek Dokumen (DOM) halaman web. Daripada mengubah suai respons pelayan, penyerang mengeksploitasi kelemahan dalam kod JavaScript sisi klien untuk memasukkan dan melaksanakan skrip berniat jahat. Kod hasad berinteraksi dengan DOM, menukar kandungan halaman atau mencuri data kritikal.
Bagaimanakah kelemahan XSS dieksploitasi?
Kerentanan XSS boleh dieksploitasi dalam pelbagai cara, bergantung pada jenis serangan dan persekitaran di mana ia berlaku. Penyerang boleh menggunakan kaedah berikut -
Suntikan tag skrip atau pengendali acara ke dalam medan input pengguna, ulasan atau mesej sembang.
Jalankan kod arbitrari menggunakan fungsi dan objek JavaScript.
Kerentanan XSS boleh dicetuskan dengan memanipulasi parameter URL atau input borang.
Dengan memahami mekanisme serangan XSS dan kemungkinan eksploitasi yang berbeza, pembangun boleh mencari dan menyelesaikan kelemahan dalam aplikasi dalam talian dengan lebih baik.
Teknologi pencegahan XSS
Kami menggunakan pelbagai teknik untuk menghalang serangan XSS di laman web kami. Tekniknya seperti berikut -
Pengesahan input dan sanitasi
Pengesahan input ialah langkah kritikal dalam menapis dan membersihkan input pengguna. Gunakan senarai putih (benarkan aksara atau corak tertentu sahaja) atau senarai hitam (lindungi daripada input berbahaya yang diketahui). Berikut ialah beberapa fungsi yang biasa digunakan untuk pengesahan input dan sanitasi -
filter_var() - Menyediakan set penapis yang komprehensif untuk mengesahkan dan membersihkan jenis data yang berbeza. Ia membolehkan anda melaksanakan tugas seperti mengesahkan alamat e-mel, membersihkan URL, mengesahkan integer dan banyak lagi.
strip_tags() - Mengalih keluar teg HTML dan PHP daripada rentetan, membersihkan input dengan berkesan dan menghalang kemungkinan pelaksanaan skrip. Ia berguna apabila anda ingin membenarkan teg HTML tertentu tetapi mengalih keluar sebarang teg yang mungkin berbahaya.
preg_replace() - Membolehkan anda melakukan operasi carian dan ganti berasaskan ungkapan biasa. Ia boleh digunakan untuk tugas pembersihan input lanjutan, seperti mengalih keluar atau menggantikan corak atau aksara tertentu daripada input pengguna.
strlen() - Mengembalikan panjang rentetan. Ia boleh mengesahkan panjang input pengguna dan menguatkuasakan had panjang tertentu.
addslashes() - Menambah garis miring ke belakang sebelum aksara dengan makna istimewa apabila membuat pertanyaan dalam SQL atau memproses data yang disimpan dalam pangkalan data.
Pengekodan output
Adalah penting untuk mengekod output untuk mengelakkan skrip daripada dilaksanakan dengan betul. Gunakan fungsi seperti htmlspecialchars() untuk menukar aksara khas kepada entiti HTML yang sepadan untuk memastikan paparan selamat bahan jana pengguna. Berikut ialah beberapa contoh cara menggunakan htmlspecialchars() untuk menghalang XSS -
“&”(ampersand) menjadi &
‘"’ (tanda petikan berganda) menjadi “
‘>’ (lebih besar daripada) menjadi >
‘
"'" (petikan tunggal) menjadi ' atau '
Dasar Keselamatan Kandungan (CSP)
Melaksanakan Dasar Keselamatan Kandungan (CSP) untuk menetapkan sumber kandungan yang dipercayai. Tentukan arahan seperti "default-src 'self'" untuk mengehadkan sumber untuk dimuatkan daripada sumber yang sama, mengurangkan risiko melaksanakan skrip berniat jahat.
Contoh
header("Content-Security-Policy: default-src 'self'");
Salin selepas log masuk
Contoh ini menggunakan pengepala Content-Security-Policy untuk menguatkuasakan arahan lalai-src "self", yang membenarkan sumber dimuatkan hanya daripada sumber yang sama, sekali gus menghalang pelaksanaan skrip tanpa kebenaran. Terdapat banyak arahan sumber lain yang boleh kami gunakan.
以下是内容安全策略中的一些常用指令 -
script-src - 定义可以加载或执行 JavaScript 代码的源。
style-src - 定义可以加载样式表的源。
img-src - 指定可以加载图像的源。
connect-src - 定义可以发出网络请求的源,例如 AJAX 调用或 WebSocket。
font-src - 确定可以加载网络字体的来源。
frame-src - 指定可以嵌入框架或 iframe 中的源。
object-src - 指定可以加载嵌入对象(例如 Flash 或 Java 小程序)的源。
使用准备好的语句和参数化查询
SQL注入是一种可能导致XSS漏洞的典型攻击类型,可以通过准备好的语句和参数化查询来防止。这些策略通过将用户输入附加到占位符来确保数据和代码分离。
示例
$stmt = $pdo->prepare("SELECT * FROM users WHERE username = ?");
$stmt->execute([$username]);
Salin selepas log masuk
在此示例中,我们通过将用户输入与 SQL 代码分离来防止 SQL 注入攻击。
第三方 PHP 库
这些库旨在使安全措施更易于部署,并针对潜在漏洞提供强有力的防御。以下是一些用于预防 XSS 的流行第三方 PHP 库 -
HTMLPurifier - 一个功能强大的库,可以过滤和清理 HTML 输入以删除潜在的恶意或不安全代码。它确保只允许安全有效的 HTML,防止通过受污染的用户输入进行 XSS 攻击。
AntiXSS - 由 Microsoft 开发的库,提供对用户输入进行编码以减轻 XSS 漏洞的方法。它提供了针对各种上下文(例如 HTML、JavaScript、URL 和 CSS)对用户生成的内容进行编码的功能。
PHP 安全建议 - 一个 Composer 插件,用于扫描项目的依赖项以查找已知的安全漏洞。它有助于识别具有已知 XSS 漏洞的库,并建议更新到安全版本。
HTMLSafe - 提供安全、上下文感知的 HTML 输出的库。它通过根据显示输出的上下文自动应用适当的编码来防止 XSS 攻击。
在本文中,我们研究了防止 HTML/PHP 中 XSS 攻击的各种方法。通过应用此类措施并使用多个众所周知的函数,您可以有效地保护您的 Web 应用程序免受 XSS 漏洞的侵害。
Atas ialah kandungan terperinci Bagaimana untuk menghalang serangan XSS dengan HTML/PHP?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
