如何在Node.js中防范跨站脚本攻击

译者 | 陈峻

审校 | 孙淑娟

作为一种安全漏洞，防范跨站点脚本(Cross-site scripting，跨站XSS)是脚本指攻击者使用客户端的代码，在目标网站上注入恶意脚本的攻击一种方式。由于攻击者可以使用它来冒充用户 、防范访问敏感数据
，跨站甚至更改网站的脚本页面内容，因此它对用户、攻击站点构成了严重的防范威胁。

截至2021年 ，跨站此类风险在25个最危险的脚本常见漏洞列表中排名第二。服务器租用对此 ，攻击我们往往需要在创建与维护网站时 ，防范事先对其有充分的跨站了解 ，并做好相应的脚本防范 。

1.跨站点脚本的工作原理 

在了解跨站点脚本的工作原理之前 ，让我们先来了解同源策略(same-origin policy，SOP)的含义 。SOP是一种安全机制策略，它能够限制一个网站（一个来源）去读取或写入另一个网站（其他来源） 。因此，模板下载它可以从根源上防止恶意网站向受信任的网站发送恶意代码。

跨站点脚本攻击通常会利用浏览器无法区分合法HTML和恶意代码的特点 ，来绕过同源策略 。例如，攻击者可以直接将JavaScript代码注入目标网站 。而一旦用户的浏览器执行此类代码
，那么攻击者便可以获取针对会话令牌、Cookie和其他敏感数据的访问权限
。

目前，攻击者往往会使用反射、存储和基于DOM三种类型的跨站点脚本
，云计算对目标网站开展攻击 。

2.反射型XSS 

反射型XSS是将JavaScript直接注入用户的输入字段 。此类JavaScript可能是Echo、重定向或Cookie收集器。例如
，攻击者将脚本插入到目标的搜索词中 ，产生诸如搜索结果等 ，针对获取数据库数据的请求  。一旦目标客户端提交了此类查询，那么被注入其中的脚本就会立即被触发执行 
。源码库例如，在用户搜索期间，攻击者可能会插入一个响应表单的JavaScript，要求受害者输入他们的密码或用户名 。那么一旦用户认为这是来自原始站点的请求 ，并跟着操作，就可能在不知不觉中将其信任凭据提交给了攻击者。有时，攻击者还可以使用脚本，将用户从易受攻击的页面，重定向到恶意构建的亿华云页面上，同样以提交表单的方式 ，套取信任凭据 。

3.存储型XSS 

与反射型XSS不同，存储型XSS以易受攻击网站的整个用户群为目标。攻击者通过将脚本存储在网站的数据库中，在页面加载时 ，触发存储脚本的持久执行 ，从而对网站的整体完整性产生影响 。

4.基于DOM的XSS 

存储和反射型XSS往往以网站上的高防服务器服务器端请求为目标 ，而基于DOM的XSS则是以运行时的活动为目标。它通过将脚本插入到执行特定任务的网站组件中 ，以改变其原始意图 。此类组件通常会执行更改网站元素等，与DOM相关的任务，让网页变得反应异常。

5.如何防范Node中的跨站点脚本 

您通常可以采取如下步骤
，来防范Node.js中的跨站点脚本 ：

净化输入

由于攻击者必须能够将数据发送到目标Web应用，并将其推送给用户 ，才能执行XSS攻击，因此 ，您需要采取的第一种预防措施便是 ：对所有从用户处输入到Web应用的数据予以净化。它可以保证服务器端在根据用户输入执行后续操作之前，检测并剔除各种虚假 、恶意的“脏”数据。您既可以手动执行此类操作 ，也可以使用验证器（validator）之类的工具，来加快整体的处理速度。如下代码段所示
 ，您可以使用验证器来转义用户输入中的HTML标签：

复制importvalidatorfrom"validator";letuserInput=`Jane<scriptonload="alert(XSShack);"></script>`;letsanitizedInput=validator.escape(userInput);1.2.3.

一旦您运行了上述代码，其净化后的输出结果为如下：

复制Jane<scriptonload="alert(&#x27;XSShack&#x27;);"><&#x2F;script>1.

限制用户的输入

通过验证来限制用户在表单中可以提交的输入类型。例如
，如果您提供一个电子邮件的输入字段
，那么就只允许用户输入正常的电子邮件格式。据此 ，您可以最大限度地减少攻击者提交不良数据的可能。当然 ，您也可以在此使用验证器的相关代码包。

实施HTTP-only的Cookie策略

在浏览器中，Cookie会将数据存储在本地的缓存中，并通过HTTP的方式，将其发送回服务器。不过 ，它们也很容易成为被攻击的目标。攻击者完全可以使用JavaScript，通过浏览器去访问它们。

HTTP-only的Cookie是防止客户端脚本去访问Cookie里的数据的一种策略。也就是说 ，即使您的Web应用包含有可被攻击者利用的漏洞，他们也无法据此访问到Cookie。下面是如何使用Express在Node.js中 ，实现HTTP-only的Cookie策略的示例：

复制app.use(express.session({ secret: "secret",cookie: { httpOnly: true, secure: true}}))1.2.3.4.5.6.7.

如上述代码段所示 ，如果攻击者试图去访问某个已经将httpOnly标签设置为true的Cookie，那么他们只能收到一个空的字符串。

6.小结 

常言道 
：知易行难
。大多数Web应用运维者都知道网站安全的重要性 ，但是在实施过程中往往会碰到各种复杂的状况。在上文中，我向您简单介绍了跨站点脚本攻击的基本原理，以及如何在Node.js中防范此类攻击。希望上述内容能够给您的网站加固实践提供帮助
。

原文链接 ：https://www.makeuseof.com/prevent-cross-site-scripting-in-nodejs/

译者介绍

陈峻 （Julian Chen） ，51CTO社区编辑 ，具有十多年的IT项目实施经验 ，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验；持续以博文、专题和译文等形式 ，分享前沿技术与新知；经常以线上、线下等方式 ，开展信息安全类培训与授课 。