防范XSS***
引入:
这篇文章我们来专门探讨如何防范来自外部的XSS***。
实践:
其实从http://supercharles888.blog.51cto.com/609344/1339921 文章中可以看出,主要的***手段无让***者机器上运行一段JS,这段js中包含一段对于document.cookie的处理,如果这个能拿到正确的值,那么就可以用获取的信息发送到***者的某个指定机器上,从而盗用。所以从这个思路上想解决方法就很容易了,就是通过一段机制,让植入到***者机器上的恶意的js代码中拿document.cookie拿不到内容。
能实现这一点么,简单查阅了下文档,发现了原来有Cookie 有个HttpOnly这么个标记,如果把它设置为true的时候,那么这个cookie只能通过http协议访问,而无法通过javascript 脚本,或者applet进行访问。我们在想,既然信息的盗用都是一段js脚本去拿到document.cookie的内容,那么如果设置Cookie为HttpOnly后,是否解决问题了呢?
为此,我们做个实验,我们让Cookie用java代码生成而不是和上文连接中的用某段js生成(这样做的目的是万一HttpOnly真起作用了,那么我们设置Cookie的这段js代码就生效了)
代码很简单,我们做了一个Servlet,然后让用户访问这个Servlet的时候,它会创建一个Cookie(现在hard-coded):为了比较,我们先做一个不设置HttpOnly的例子:
代码如下:
package com.charles.study;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
/**
* 这个Servlet用于产生一个Cookie
* @author charles.wang
*
*/
public class CookieServlet extends HttpServlet{
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
buildResponseWithCookie(response);
}
/**
* hard-code一个Cookie信息,并且写到客户端
* @param response
* @throws IOException
*/
private void buildResponseWithCookie(HttpServletResponse response) throws IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
Cookie cookie = new Cookie("charles","1234567890");
cookie.setMaxAge(24*3600);
cookie.setPath("/");
response.addCookie(cookie);
out.println("Already Written Cookie to Client");
}
public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
doGet(request, response);
}
}然后在 web.xml中定义好 servlet-mapping(略去)
然后当我们访问页面时候,打开Firebug,切换到Cookie标签:
可以看到,默认情况下,这个Cookie的HttpOnly属性是没有设置值的(下方表格第七栏)
现在,我们切换到Console标签页,然后输入document.cookie:
红色部分显示,这时候我们是拿得到cookie的值的,也就是说js完全可以获取cookie的内容。
现在我们把我们的代码变下,在创建cookie的地方,加一行 cookie.setHttpOnly(true);
/**
* hard-code一个Cookie信息,并且写到客户端
* @param response
* @throws IOException
*/
private void buildResponseWithCookie(HttpServletResponse response) throws IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
Cookie cookie = new Cookie("charles","1234567890");
cookie.setMaxAge(24*3600);
cookie.setPath("/");
//以下这行专门用于解决来自外部的XSS***问题
cookie.setHttpOnly(true);
response.addCookie(cookie);
out.println("Already Written Cookie to Client");
}其他不变,然后我们重复上面实验,我们打开这个servlet页面,打开Firebug,切换到Cookie标签:
这时候可以发现第7列HttpOnly属性被设置了。
现在,我们切换到Console标签页,然后输入document.cookie:
这次我们发现,这个Cookie不再显示“charles=1234567890"了,取而代之的是,它只显示""空,这就表明,我们的HttpOnly属性起作用了。我们的恶意js无法通过document.cookie拿到任何有价值信息。
结论的延伸:
于是,从上面2个实验对比,我们发现了HttpOnly属性是解决来自外部XSS***的关键属性,我们不满足上面实验,我们还可以进行扩展,因为上述实验中,我们是让response直接添加了一个cookie, 然现实中的例子多数是通过会话HttpSession,然后它的scope上添加了一些机密信息,并且维护在服务器端的。然后客户端也会有一个id去引用这个对应的session,那么这个Session是否可以使用HttpOnly属性呢?答案是肯定的。
如果你使用的是servlet 3.0+的版本,那么在对应的web.xml中,可以天然的通过下面一段代码来配置HttpOnly属性:
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="3.0" xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd">
<display-name>XSSDemo</display-name>
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
..
这里,注意我们的xsd是servlet 3.0的xsd,所以我们可以在<session-config>中使用 <cookie-config>子元素,然后用<http-only>为true来启用这个HttpOnly特征。
我们来做个实验证明,我们修改下CookieServlet,从而当我们访问这个Servlet时候他会创建一个Session:
public class CookieServlet extends HttpServlet{
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
HttpSession session= request.getSession();
session.setAttribute("charles_session","9876543210");
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
out.println("Session Created");
}
public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
doGet(request, response);
}
}然后我们访问页面:
显然,从第七列看出来,这个刚创建的Session Cookie ,它的HttpOnly被正确的设置了。
总结:
我们做了几个实验,大体上解决了外部XSS***的问题,主要是通过设置HttpOnly属性,这个属性可防止js或者applet去操作cookie,而且它不仅适用于一般的Cookie,也适用于Session Cookie. 其实它的思想很简单,既然外部XSS***是你把情报带出去,那么我海关就严格一条,任何纸条只要通过海关就”烧“掉(我只是打个比方) ,这样你不管如何,你都不能通过恶意代码从这个灰烬的纸条中拿到信息了。
实践上看,对于一般的Cookie,只要在它创建的时候,设置cookie.setHttpOnly(true).
对于Session Cookie,如果你的app容器支持servlet 3.0规范,那么只要配置 <cookie-config>让其启用<http-only>就可以了,如果你的app容器比较老,那么你必须通过覆写SET-COOKIE的 Http响应头来显式添加HttpOnly标志。
//通过覆写SET-COOKIE的 Http响应头来显式的添加HttpOnly
String sessionid = request.getSession().getId();
response.setHeader("SET-COOKIE", "JSESSIONID=" + sessionid + "; HttpOnly");其实,现在主流的浏览器都能很好的支持HttpOnly了,***们要***难度又加大了。
转载于:https://blog.51cto.com/supercharles888/1341060
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
