什么是 JavaScript 注入攻擊��?
每當(dāng)接受用戶輸入的內(nèi)容并重新顯示這些內(nèi)容時(shí)����,網(wǎng)站就很容易遭受 JavaScript 注入攻擊。讓我們研究一個(gè)容易遭受 JavaScript 注入攻擊的具體應(yīng)用程序���。假設(shè)已經(jīng)創(chuàng)建了一個(gè)客戶反饋網(wǎng)站?���?蛻艨梢栽L問網(wǎng)站并輸入對產(chǎn)品的反饋信息。當(dāng)客戶提交反饋時(shí)����,反饋信息重新顯示在反饋頁面上。
客戶反饋網(wǎng)站是一個(gè)簡單的網(wǎng)站����。不幸的是,此網(wǎng)站容易遭受 JavaScript 注入攻擊��。
假設(shè)正在將以下文本輸入到客戶反饋表單中:
<script>alert(“Boo!”)</script>
此文本表示顯示警告消息框的 JavaScript 腳本��。在某人將此腳本提交到客戶反饋表單后���,消息 Boo! 會(huì)在將來任何人訪問客戶反饋網(wǎng)站時(shí)顯示的攻擊�����。您可能還認(rèn)為別人不會(huì)通過 JavaScript 注入攻擊搞破壞�����。
現(xiàn)在����,您對 JavaScript 注入攻擊的第一反應(yīng)也許是不理會(huì)。您可能認(rèn)為 JavaScript 注入攻擊不過是一種 無傷大雅
不幸的是����,黑客會(huì)通過在網(wǎng)站中注入 JavaScript 進(jìn)行破壞活動(dòng)。使用 JavaScript 注入攻擊可以執(zhí)行跨站腳本 (XSS) 攻擊��。在跨站腳本攻擊中�����,可以竊取保密的用戶信息并將信息發(fā)送到另一個(gè)網(wǎng)站�����。
例 如����,黑客可以使用 JavaScript 注入攻擊竊取來自其他用戶瀏覽器的Cookies 值���。如果將敏感信息(如密碼、信用卡帳號(hào)或社會(huì)保險(xiǎn)號(hào)碼)保存在瀏覽器Cookies 中�����,那么黑客可以使用 JavaScript 注入攻擊竊取這些信息��?���;蛘?,如果用戶將敏感信息輸入到頁面的表單字段中,而頁面受到 JavaScript 攻擊的危害����,那么黑客可以使用注入的 JavaScript 獲取表單數(shù)據(jù)并將其發(fā)送到另一個(gè)網(wǎng)站。
請高度重視����。認(rèn)真對待 JavaScript 注入攻擊并保護(hù)用戶的保密信息。在接下來的兩部分中����,我們將討論防止 ASP.NET MVC 應(yīng)用程序受到 JavaScript 注入攻擊的兩種技術(shù)�。
方法 1:視圖中的 HTML 編碼
阻止 JavaScript 注入攻擊的一種簡單方法是重新在視圖中顯示數(shù)據(jù)時(shí)���,用 HTML 編碼任何網(wǎng)站用戶輸入的數(shù)據(jù)
如:<%=Html.Encode(feedback.Message)%>
使用 HTML 編碼一個(gè)字符串的含意是什么呢����?使用 HTML 編碼字符串時(shí)����,危險(xiǎn)字符如 < 和 > 被替換為 HTML 實(shí)體,如 < 和 >�。所以,當(dāng)使用 HTML 編碼字符串 <script>alert(“Boo!”)</script>時(shí)���,它將轉(zhuǎn)換為 <script>alert(“Boo!”)</script>�。瀏覽器在解析編碼的字符串時(shí)不再執(zhí)行 JavaScript 腳本����。而是顯示無害的頁面
方法 2:寫入數(shù)據(jù)庫之前的 HTML 編碼
除了在視圖中顯示數(shù)據(jù)時(shí)使用 HTML 編碼數(shù)據(jù),還可以在將數(shù)據(jù)提交到數(shù)據(jù)庫之前使用 HTML 編碼數(shù)據(jù)��。第二種方法正是程序清單 4 中 controller 的情況�。
如:
public ActionResult Create(string message)
{
// Add feedback
var newFeedback = new Feedback();
newFeedback.Message = Server.HtmlEncode(message);
newFeedback.EntryDate = DateTime.Now;
db.Feedbacks.InsertOnSubmit(newFeedback);
db.SubmitChanges();
// Redirect
return RedirectToAction(“Index”);
}
請注意,Message 的值在提交到數(shù)據(jù)庫之前是在 Create() 操作中經(jīng)過 HTML 編碼的���。當(dāng)在視圖中重新顯示 Message 時(shí)����,Message 被 HTML 編碼,因而不會(huì)執(zhí)行任何注入到 Message 中的 JavaScript�。
總結(jié)
通常,人們喜歡使用本教程中討論的第一種方法����,而不喜歡使用第二種方法。第二種方法的問題在于在數(shù)據(jù)庫中最終會(huì)保留 HTML 編碼的數(shù)據(jù)�。換言之�����,數(shù)據(jù)庫中的數(shù)據(jù)會(huì)包含奇怪的字符����。這有什么壞處呢?如果需要用除網(wǎng)頁以外的形式顯示數(shù)據(jù)庫數(shù)據(jù)��,則將遇到問題��。例如���,不能輕易在 Windows Forms 應(yīng)用程序中顯示數(shù)據(jù)��。
附加:神一般的注入
這是一個(gè)有技術(shù)含量的號(hào)牌遮擋��。我們先不說其是不是能奏效��,不過��,這個(gè)創(chuàng)意相當(dāng)?shù)腘B啊�����。當(dāng)你駕車通過某些路口時(shí)��,被攝像頭捕捉到你的車牌�,通過OCR變成文本(圖像識(shí)別技術(shù),這里為車牌識(shí)別技術(shù))����,然后他就DROP掉數(shù)據(jù)庫,于是���,上圖的這個(gè)車牌就成了SQL注入�����。
