基于DOM型跨站腳本攻擊防御的設計與實現

◆高 巖 保永武

（武漢虹旭信息技術有限責任公司 湖北 430000）

0 引言

跨站腳本攻擊(Cross-Site Scripting,XSS)在 OWASP TOP10-2017中被列為了第三威脅漏洞，僅次于注入和失效的身份認證和會話管理。成為近年來出現頻率最高的Web漏洞之一，跨站腳本攻擊具有攻擊范圍廣泛，跨平臺，破壞力強等特性受到攻擊者的重視；并且由于開發者以及用戶對跨站攻擊的防范意識的缺乏，很多開發人員在web開發過程中沒有意識到跨站腳本漏洞的危害，導致跨站腳本漏洞被忽視。

現有的防御措施大多數依靠服務端純文本過濾來實現，但服務端純文本過濾存在許多問題：首先是設定黑名單時很難全面包含所有惡意函數，無法正確地涵蓋所有標簽以及屬性，攻擊者可以利用黑名單外的標簽構造惡意代碼進行攻擊；其次是白名單的使用可以有效地阻止跨站腳本攻擊，但會極大地影響用戶體驗，導致用戶輸入的非惡意數據被過濾；然后是無法完全匹配瀏覽器特性，如“svg/onload”適用于Chrome瀏覽器，但不適用于IE瀏覽器；另外針對DOM型XSS攻擊防御效果不理想。

1 XSS概述

跨站腳本攻擊發生在目標網站中目標用戶的瀏覽器層面上，在用戶瀏覽器渲染整個 HTML文檔的過程中出現腳本指令控制用戶瀏覽器進行攻擊。

通常，根據XSS攻擊的攻擊方式以及利用手法不同，將跨站腳本分為三類：反射型XSS、存儲型XSS、DOM型XSS。

1.1 反射型跨站腳本攻擊

反射型跨站腳本攻擊的注入點通常存在于網頁的 URL中，主要實現方式是通過修改 URL地址內的參數，將惡意腳本作為輸入提交到服務端。由于服務端未對跨站腳本進行完全過濾就直接返回至客戶端，在瀏覽器響應內容中出現這段跨站腳本并在瀏覽器上執行，從而使用戶受到攻擊。反射型跨站攻擊具有實現難度較低、攻擊及時的特點，因此大多數跨站腳本攻擊案例為反射型跨站攻擊。在反射型跨站攻擊過程中，攻擊者通常利用精心構造的惡意代碼進行釣魚，攻擊者通過通信工具發送包含攻擊代碼的URL給受害者，當受害者點擊攻擊者構造的URL時會觸發攻擊者構造的攻擊代碼，然后向服務端發出請求，服務端響應后返回給受害者瀏覽器，攻擊代碼得以順利執行，攻擊行為完成。

1.2 存儲型跨站腳本攻擊

存儲型跨站腳本攻擊與反射型跨站腳本攻擊最明顯的差別在于攻擊者精心構造的跨站腳本會存儲在服務端（服務端的數據庫或者文件系統中），攻擊者再次請求該頁面時不需要再次提交跨站腳本。反射型跨站腳本攻擊的注入點通常存在于 URL中，存儲型跨站腳本攻擊的注入點一般出現在有交互功能的地方，如網站的留言板、評論區、博客日志、個人信息等。跨站腳本被存儲到服務端，當其他用戶或管理員瀏覽該信息時，瀏覽器將會直接從服務端讀取攻擊者構造的跨站腳本，并在瀏覽器執行該跨站腳本。

1.3 DOM型跨站腳本攻擊

DOM型XSS不同于上述提到的反射型XSS以及存儲型XSS，DOM型XSS取決于輸出位置，而不取決于輸出環境。其輸出點在DOM中，DOM型XSS是從JavaScript中輸出數據到HTML頁面的。因此DOM型XSS既有可能是反射型XSS，也有可能是存儲型XSS。DOM型XSS在服務端處理后的代碼輸出到頁面后，可能會再次經過客戶端腳本處理后輸出，因此僅僅在服務端部署防御是無法過濾DOM型XSS的。

2 跨站腳本攻擊防御系統設計

傳統的協同過濾（圖1）是將非信任數據先進行客戶端過濾，然后進行服務端過濾，最后輸出到客戶端的瀏覽器進行解析。攻擊者可以利用抓包軟件對HTTP數據包進行攔截并修改從而繞過客戶端過濾，導致客戶端過濾失效。針對此種攻擊，本文設計了一套更為完善的客戶端與服務端協同過濾體系，在服務端進行過濾后再通過客戶端對代碼進行過濾，過濾流程如圖2所示。該方法相對于純服務端過濾而言，可以減少服務端的壓力的同時有效防止DOM型跨站腳本攻擊，比純客戶端過濾在防范非DOM型跨站腳本攻擊中的效果更好。該方法不僅具有傳統的協同過濾的優點，而且可以防范攻擊者通過抓取HTTP并修改的方式繞過客戶端過濾，更好地針對跨站腳本攻擊進行防御。

圖1 傳統跨站腳本過濾流程圖

2.1 服務端過濾

通常攻擊者想要利用XSS漏洞進行攻擊，需要將網頁中的標簽閉合掉(如”