快捷導(dǎo)航

什么是JavaScript注入攻擊?

更新時(shí)間：2016年09月14日 17:07:29 作者：Suger_Code

本文告訴大家什么是js注入，討論防止 ASP.NET MVC 應(yīng)用程序受到 JavaScript 注入攻擊的兩種技術(shù)，感興趣的小伙伴們可以參考一下

Javascript可以作為黑客攻擊網(wǎng)站的一種工具，其中注入js（javascript）惡意腳本就是其中一種手段之一，那么下面，大家來(lái)學(xué)習(xí)一下如何預(yù)防js的注入攻擊呢?以下有一個(gè)不錯(cuò)的陳述，跟大家分享:

什么是 JavaScript 注入攻擊？
每當(dāng)接受用戶輸入的內(nèi)容并重新顯示這些內(nèi)容時(shí)，網(wǎng)站就很容易遭受 JavaScript 注入攻擊。讓我們研究一個(gè)容易遭受 JavaScript 注入攻擊的具體應(yīng)用程序。假設(shè)已經(jīng)創(chuàng)建了一個(gè)客戶反饋網(wǎng)站?？蛻艨梢栽L問網(wǎng)站并輸入對(duì)產(chǎn)品的反饋信息。當(dāng)客戶提交反饋時(shí)，反饋信息重新顯示在反饋?lái)?yè)面上。

客戶反饋網(wǎng)站是一個(gè)簡(jiǎn)單的網(wǎng)站。不幸的是，此網(wǎng)站容易遭受 JavaScript 注入攻擊。

假設(shè)正在將以下文本輸入到客戶反饋表單中：

此文本表示顯示警告消息框的 JavaScript 腳本。在某人將此腳本提交到客戶反饋表單后，消息 Boo! 會(huì)在將來(lái)任何人訪問客戶反饋網(wǎng)站時(shí)顯示的攻擊。您可能還認(rèn)為別人不會(huì)通過(guò) JavaScript 注入攻擊搞破壞。

現(xiàn)在，您對(duì) JavaScript 注入攻擊的第一反應(yīng)也許是不理會(huì)。您可能認(rèn)為 JavaScript 注入攻擊不過(guò)是一種無(wú)傷大雅，不幸的是，黑客會(huì)通過(guò)在網(wǎng)站中注入 JavaScript 進(jìn)行破壞活動(dòng)。使用 JavaScript 注入攻擊可以執(zhí)行跨站腳本 (XSS) 攻擊。在跨站腳本攻擊中，可以竊取保密的用戶信息并將信息發(fā)送到另一個(gè)網(wǎng)站。

例如，黑客可以使用 JavaScript 注入攻擊竊取來(lái)自其他用戶瀏覽器的 Cookies 值。如果將敏感信息（如密碼、信用卡帳號(hào)或社會(huì)保險(xiǎn)號(hào)碼）保存在瀏覽器 Cookies 中，那么黑客可以使用 JavaScript 注入攻擊竊取這些信息?；蛘?，如果用戶將敏感信息輸入到頁(yè)面的表單字段中，而頁(yè)面受到 JavaScript 攻擊的危害，那么黑客可以使用注入的 JavaScript 獲取表單數(shù)據(jù)并將其發(fā)送到另一個(gè)網(wǎng)站。

請(qǐng)高度重視。認(rèn)真對(duì)待 JavaScript 注入攻擊并保護(hù)用戶的保密信息。在接下來(lái)的兩部分中，我們將討論防止 ASP.NET MVC 應(yīng)用程序受到 JavaScript 注入攻擊的兩種技術(shù)。

方法 1：視圖中的 HTML 編碼

阻止 JavaScript 注入攻擊的一種簡(jiǎn)單方法是重新在視圖中顯示數(shù)據(jù)時(shí)，用 HTML 編碼任何網(wǎng)站用戶輸入的數(shù)據(jù)

如：<%=Html.Encode(feedback.Message)%>

使用 HTML 編碼一個(gè)字符串的含意是什么呢？使用 HTML 編碼字符串時(shí)，危險(xiǎn)字符如 < 和 > 被替換為 HTML 實(shí)體，如 < 和 >。所以，當(dāng)使用 HTML 編碼字符串 <script>alert(“Boo!”)</script>時(shí)，它將轉(zhuǎn)換為 <script>alert(“Boo!”)</script>。瀏覽器在解析編碼的字符串時(shí)不再執(zhí)行 JavaScript 腳本。而是顯示無(wú)害的頁(yè)面

方法 2：寫入數(shù)據(jù)庫(kù)之前的 HTML 編碼
除了在視圖中顯示數(shù)據(jù)時(shí)使用 HTML 編碼數(shù)據(jù)，還可以在將數(shù)據(jù)提交到數(shù)據(jù)庫(kù)之前使用 HTML 編碼數(shù)據(jù)。第二種方法正是程序清單 4 中 controller 的情況。

如:

public ActionResult Create(string message)
{
// Add feedback
var newFeedback = new Feedback();
newFeedback.Message = Server.HtmlEncode(message);
newFeedback.EntryDate = DateTime.Now;
db.Feedbacks.InsertOnSubmit(newFeedback);
db.SubmitChanges(); 
 

// Redirect
return RedirectToAction(“Index”);
}

請(qǐng)注意，Message 的值在提交到數(shù)據(jù)庫(kù)之前是在 Create() 操作中經(jīng)過(guò) HTML 編碼的。當(dāng)在視圖中重新顯示 Message 時(shí)，Message 被 HTML 編碼，因而不會(huì)執(zhí)行任何注入到 Message 中的 JavaScript。

總結(jié)

通常，人們喜歡使用本教程中討論的第一種方法，而不喜歡使用第二種方法。第二種方法的問題在于在數(shù)據(jù)庫(kù)中最終會(huì)保留 HTML 編碼的數(shù)據(jù)。換言之，數(shù)據(jù)庫(kù)中的數(shù)據(jù)會(huì)包含奇怪的字符。這有什么壞處呢？如果需要用除網(wǎng)頁(yè)以外的形式顯示數(shù)據(jù)庫(kù)數(shù)據(jù)，則將遇到問題。例如，不能輕易在 Windows Forms 應(yīng)用程序中顯示數(shù)據(jù)。

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

您可能感興趣的文章: