如何避免JavaScript 注入攻击?
用户投稿 学习笔记 11阅读
每当接受用户输入的内容并重新显示这些内容时,网站就很容易遭受 JavaScript 注入攻击。假设已经创建了一个客户反馈网站。客户可以访问网站并输入对产品的反馈信息。当客户提交反馈时,反馈信息重新显示在反馈页面上。客户反馈网站是一个简单的网站。不幸的是,此网站容易遭受 JavaScript 注入攻击。
假设用户正在将以下文本输入到客户反馈表单中:
<script>alert(“Boo!”)</script>那这段文本在显示的时候会在页面上弹出一个消息框,以后任何人在访问这个网站的时候,在显示用户的反馈信息时都会弹出这个对话框。 可能你对上面的JavaScript注入感觉没什么大不了的,好像它只能对我们的界面显示产生影响,它并不会给我们的网站的安全性还来真正可怕的影响。不幸的是,一个黑客足可以使用JavaScript攻击来给你的网站带来可怕的事情。它可以使用JavaScript注入执行Cross-Site Scripting攻击。Cross-Site Scripting攻击就是盗窃用来的机密信息并发送到别的网站上去。比如:黑客可以使用JavaScript注入攻击从客户机的Cookie中盗取敏感信息(密码、信用卡号、社保账号等),或者把其它用户表单中输入的机密数据发送到其它网站上去。
解决方法一:视图中的 HTML 编码防止JavaScript注入攻击的一个简单方法就是当显示用户输入的数据时,使用Html.Encode()方法把数据库中的数据编码显示。
如:<%=Html.Encode(feedback.Message)%>使用 Html.Encode()方法编码字符串时,它会把一些危险字符给转义掉。所以,当使用Html.Encode()方法编码字符串 时,它将转换为 :
<script>alert(“Boo!”)</script>浏览器在解析编码的字符串时不再执行 JavaScript 脚本。而是显示无害的页面。
解决方法二:写入数据库之前的 HTML 编码除了在视图中显示数据时使用 HTML 编码数据,还可以在将数据提交到数据库之前使用 HTML 编码数据。第二种方法正是程序清单中 controller 的情况。
如以下代码:
public ActionResult Create(string message){// Add feedbackvar newFeedback = new Feedback();newFeedback.Message = Server.HtmlEncode(message);newFeedback.EntryDate = DateTime.Now;db.Feedbacks.InsertOnSubmit(newFeedback);db.SubmitChanges(); // Redirectreturn RedirectToAction(“Index”);}请注意,Message 的值在提交到数据库之前是在 Create() 操作中经过 HTML 编码的。当在视图中重新显示 Message 时,Message 被 HTML 编码,因而不会执行任何注入到 Message 中的 JavaScript。
总结通常,人们喜欢使用本教程中讨论的第一种方法,而不喜欢使用第二种方法。第二种方法的问题在于在数据库中最终会保留 HTML 编码的数据。换言之,数据库中的数据会包含奇怪的字符。这有什么坏处呢?如果需要用除网页以外的形式显示数据库数据,则将遇到问题。例如,不能轻易在 Windows Forms 应用程序中显示数据。