跨站剧本进击(Cross Site Scripting)，缩写为XSS。歹意进击者往Web页面里插进去歹意javaScript代码，当用户阅读该页之时，嵌入个中Web内里的javaScript代码会被实行，从而到达歹意进击用户的目标。

一个简朴的XSS进击

代码：

async function(ctx, next){
    ctx.set('X-XSS-Protection',0);
    ctx.render('index',{from:ctx.query.from});
};

注重：插进去X-XSS-Protection头部使阅读器XSS阻拦器失效。

最先进击：

人人发明网页实行了一段剧本，而且这段剧本是用户歹意输入的。这就是XSS进击最简朴的一个案例。把底本应当显现纯文本的处所，实行了一段黑客写入的剧本。

那XSS进击有什么伤害呢？

1、偷取各种用户帐号
2、掌握企业数据，包括读取、改动、增加、删除企业敏感数据的才能
3、偷窃企业主要的具有商业价值的材料
4、不法转账
5、强迫发送电子邮件
6、网站挂马
7、掌握受害者机械向别的网站提议进击

XSS进击的分类

1、反射型

又称为非耐久性跨站点剧本进击。破绽发生的原因是进击者注入的数据反映在相应中。非耐久型XSS进击请求用户接见一个被进击者改动后的链接，用户接见该链接时，被植入的进击剧本被用户游览器实行，从而到达进击目标。也就是我上面举的谁人简朴的XSS进击案例，经由过程url参数直接注入。然后在相应的数据中包括着风险的代码。

当黑客把这个链接发给你，你就中招啦！

2、存储型

又称为耐久型跨站点剧本，它平常发生在XSS进击向量(平常指XSS进击代码)存储在网站数据库，当一个页面被用户翻开的时刻实行。耐久的XSS比拟非耐久性XSS进击伤害性更大,轻易形成蠕虫，由于每当用户翻开页面，检察内容时剧本将自动实行。

该网页有一个宣布批评的功用，该批评会写入背景数据库，而且接见主页的时刻，会从数据库中加载出一切的批评。

当我增加一个批评，而且潜伏一个剧本，如下图：

当他人接见主页的时刻，方才黑客写入的批评内里的剧本被阅读器当做代码实行了，用户稀里糊涂遭到进击：

上面就是两种XSS进击的两种基础范例。固然黑客不会弹出一个框框给你，通知你被进击，黑客不会这么傻的~他能够在用户不知情的状况下，偷取用户的cookie，转变网页营业逻辑等等。

XSS进击的注入点

1、HTML节点内容
这个实在就是我之前演示的，HTML节点中潜伏进击剧本。

2、HTML属性
这里img的src属性是由用户通报过来的值，当用户把图片地点写成：1″%20onerror=”alert(%27哈哈被进击%27)
人人看下面发生了什么：

3、JavaScript代码 （字符串提早封闭）
当JavaScript代码中有一个变量是由用户供应的数据，这个数据也有能够之前被写入了数据库。如下图，当用户输入的内容为：
小柚子”;alert(%27哈哈你被进击了！%27);”

4、富文本
人人都晓得，富文本实在就是一段HTML。既然它是一段HTML，那末就存在XSS进击。而且富文本进击的防备相对比较贫苦。

XSS进击防备

chrome阅读器自带防备,可阻拦反射性XSS（HTML内容和属性），js和富文本的没法阻拦，所以我们必须得本身做一些防备手腕。

1、HTML节点内容的防备

将用户输入的内容举行转义：

var escapeHtml = function(str) {
    str = str.replace(/</g,'&lt;');
    str = str.replace(/</g,'&gt;');
    return str;
}

ctx.render('index', {comments, from: escapeHtml(ctx.query.from || '')});

2、HTML属性的防备

对空格，单引号，双引号举行转义

var escapeHtmlProperty = function (str) {
    if(!str) return '';
    str = str.replace(/"/g,'&quto;');
    str = str.replace(/'/g,''');
    str = str.replace(/ /g,' ');
    return str;
}

ctx.render('index', {posts, comments,
    from:ctx.query.from || '',
    avatarId:escapeHtmlProperty(ctx.query.avatarId || '')});

3、JavaScript的防备

对引号举行转义

var escapeForJS = function(str){
        if(!str) return '';
        str = str.replace(/\\/g,'\\\\');
        str = str.replace(/"/g,'\\"');
        return str;
}

4、富文本的防备
富文本的状况异常的庞杂，js能够藏在标签里，超链接url里，何种属性里。

<script>alert(1)</script>
<a href="javascript:alert(1)"></a>
<img src="abc" onerror="alert(1)"/>

所以我们不能过用上面的要领做简朴的转义。由于状况实在太多了。

如今我们换个思绪，
供应两种过滤的方法：

1）黑名单
我们能够把<script/> onerror 这类风险标签或许属性归入黑名单，过滤掉它。然则我们想，这类体式格局你要斟酌许多状况，你也有能够遗漏一些状况等。

2）白名单
这类体式格局只许可部份标签和属性。不在这个白名单中的，一概过滤掉它。然则这类体式格局编码有点贫苦，我们需要去剖析html树状构造，然后举行过滤，把过滤后平安的html在输出。
这里供应一个包，协助我们去剖析html树状构造，它运用起来和jquery异常的相似。

npm install cheerio --save

var xssFilter = function(html) {
    if(!html) return '';
    var cheerio = require('cheerio');
    var $ = cheerio.load(html);
    //白名单
    var whiteList = {
        'html' : [''],
        'body' : [''],
        'head' : [''],
        'div' : ['class'],
        'img' : ['src'],
        'a' : ['href'],
        'font':['size','color']
    };

    $('*').each(function(index,elem){
        if(!whiteList[elem.name]) {
            $(elem).remove();
            return;
        }
        for(var attr in elem.attribs) {
            if(whiteList[elem.name].indexOf(attr) === -1) {
                $(elem).attr(attr,null);
            }
        }

    });

    return $.html();
}

console.log(xssFilter('<div><font color="red">你好</font><a href="http://www.baidu.com">百度</a><script>alert("哈哈你被进击了")</script></div>'));

人人能够看到：

<script>不在白名单中，所以被过滤掉了。

5、CSP(Content Security Policy)

内容平安策略（Content Security Policy，简称CSP）是一种以可托白名单作机制，来限定网站中是不是能够包括某泉源内容。默许设置下不许可实行内联代码（<script>块内容，内联事宜，内联款式），以及制止实行eval() , newFunction() , setTimeout([string], …) 和setInterval([string], …) 。

示例：

1.只许可本站资本

Content-Security-Policy： default-src ‘self’

2.许可本站的资本以及恣意位置的图片以及 https://segmentfault.com 下的剧本。

Content-Security-Policy： default-src ‘self’; img-src *;
script-src https://segmentfault.com