JavaScript安全编码：构建健壮的XSS防护转义函数

1. 原始转义函数分析

在Web开发中，将用户输入或外部数据插入到HTML页面时，如果不进行适当的转义，就可能导致跨站脚本（XSS）攻击。XSS攻击允许攻击者在用户的浏览器中执行恶意脚本，窃取用户数据、篡改页面内容或进行其他恶意操作。

以下是一个尝试对用户输入进行转义的JavaScript函数示例：

function escape(s) {
    s = s.toString();
    if (s.length > 100) { throw new Error("Too long!"); }
    s = s.replace(/./g, function(x) {
        return { '<': '<', '>': '>', '&': '&'}[x] || x;       
    });
    if (s.match("prompt") || s.match("alert")) { throw new Error("XSS caught"); }
    return "<div>" + s + "</div>";
}

该函数旨在接收一个字符串输入s，对其进行处理，并将其包裹在一个<div>标签中返回。它采取了以下几种安全措施：

• 类型转换与长度限制： 将输入转换为字符串并限制其长度不超过100个字符。
• 基本HTML实体转义： 将<转义为，&转义为&。
• 关键词过滤： 检查字符串中是否包含"prompt"或"alert"等关键词，如果包含则抛出错误。

尽管这些措施在一定程度上提升了安全性，但该函数仍存在明显的XSS漏洞。

立即学习“Java免费学习笔记（深入）”；

2. XSS漏洞剖析与强化建议

对上述escape函数进行深入分析，可以发现以下几个关键的安全缺陷：

2.1 不完全的字符转义

该函数仅转义了<、>和&这三个HTML特殊字符。然而，在HTML上下文中，还有其他重要的特殊字符需要转义，特别是当字符串被用作HTML属性值时。

• 双引号 ("): 在HTML属性中，双引号用于界定属性值。如果未转义，攻击者可以通过注入"来闭合当前属性，并注入新的属性（如onerror）或事件处理程序。例如，如果输入是" onclick="alert(1)", 经过原函数转义后会变成 <div>" onclick="alert(1)"</div>，其中onclick事件会被执行。
• 单引号 ('): 类似于双引号，在属性值使用单引号界定时，单引号也需要转义。
• 反引号 (`): 在某些浏览器（如IE）的旧版本中，反引号也可能被用于属性值，并导致XSS。在ES6模板字符串中，反引号也具有特殊含义。
• 正斜杠 (/): 虽然不是严格意义上的HTML特殊字符，但在某些上下文中（如结束HTML标签或JavaScript字符串），转义它可以增加安全性，例如防止</script>标签的闭合。

改进建议： 至少应将"、'和`也转义为对应的HTML实体（"、'或'、`）。

2.2 长度限制的局限性

虽然限制输入长度是良好的安全实践，可以防止某些类型的缓冲区溢出或拒绝服务攻击，但它并不能有效阻止XSS。一个短小精悍的恶意脚本同样可以造成严重危害。例如，"><script>alert(1)</script> 长度很短，但足以构成XSS攻击。

改进建议： 长度限制应作为辅助措施，而非核心XSS防护手段。核心应放在彻底的字符转义上。

2.3 关键词过滤的绕过风险

函数尝试通过检查"prompt"或"alert"等关键词来阻止XSS。然而，这种基于黑名单的关键词过滤非常容易被绕过。攻击者可以通过多种方式混淆恶意代码，使其不包含这些字面量，但依然能执行：

• HTML实体编码： `alert(1)
• JavaScript字符串拼接： String.fromCharCode(97,108,101,114,116)(1) 或 'a'+'l'+'e'+'r'+'t'(1)
• Unicode转义： \u0061lert(1)
• 其他DOM操作： 不使用alert或prompt，而是直接操作DOM来窃取信息或重定向。

改进建议： 关键词过滤是无效的XSS防护手段。正确的做法是彻底转义所有潜在的危险字符，而不是试图猜测攻击者的意图。

3. 强化转义函数的实现示例

基于上述分析，一个更健壮的HTML上下文转义函数应该覆盖所有可能导致XSS的HTML特殊字符。以下是一个改进后的escapeHtml函数示例：

function escapeHtml(s) {
    // 强制转换为字符串
    s = String(s);

    // 可以选择性地添加长度限制，但这不是XSS防护的核心
    // if (s.length > 1000) { // 示例：放宽长度限制，或根据业务需求调整
    //     throw new Error("Input string is too long!");
    // }

    // 使用正则表达式一次性替换所有需要转义的字符
    // 注意：这里包含了双引号、单引号和反引号的转义
    return s.replace(/[<>&"'`]/g, function(char) {
        switch (char) {
            case '<': return '<';
            case '>': return '>';
            case '&': return '&';
            case '"': return '"';
            case "'": return '&#x27;'; // 或者 '，HTML5支持 &apos; 但兼容性不如 &#x27;
            case '`': return '&#x60;';
            // 如果需要，也可以转义斜杠，例如在JSON或JS字符串上下文中
            // case '/': return '&#x2F;'; 
            default: return char;
        }
    });
}

// 示例用法
const userInput1 = "<script>alert('XSS!')</script>";
const escapedOutput1 = escapeHtml(userInput1);
console.log(`转义前: ${userInput1}`);
console.log(`转义后: <div>${escapedOutput1}</div>`);
// 预期输出: <div><script>alert(&#x27;XSS!&#x27;)</script></div>

const userInput2 = `"><img src=x onerror=alert('XSS')>`;
const escapedOutput2 =

以上就是JavaScript安全编码：构建健壮的XSS防护转义函数的详细内容，更多请关注php中文网其它相关文章！