socket.io+express實(shí)現(xiàn)聊天室的思考（三）

JerryZou 發(fā)布于2019-08-20 18:36 / 1135人閱讀

摘要：不過這種方案存在一個(gè)問題，就是無法發(fā)送圖片。尤其是對等標(biāo)簽需要格外的注意。后端必須對前端傳過來的數(shù)據(jù)進(jìn)行再次驗(yàn)證。

這一篇文章主要是對 安全性 的思考，首先了解一下一些常見的網(wǎng)絡(luò)攻擊

xss跨站點(diǎn)腳本攻擊

XSS是注入攻擊的一種，其特點(diǎn)是不對服務(wù)器造成任何傷害，而是通過一些正常的站內(nèi)交互途徑，發(fā)布含有js的攻擊代碼，如果服務(wù)器沒有沒有過濾或者轉(zhuǎn)義這些腳本，作為內(nèi)容發(fā)布到了頁面上，其他用戶訪問這個(gè)頁面時(shí)會(huì)運(yùn)行這些腳本

儲(chǔ)存型XSS

也叫作 持久性XSS，會(huì)把攻擊者的數(shù)據(jù)儲(chǔ)存在服務(wù)器端，攻擊行為將伴隨攻擊數(shù)據(jù)一直存在。
舉個(gè)栗子

攻擊者以一個(gè)普通用戶登錄進(jìn)來，然后在輸入框提交以下數(shù)據(jù)

更多

攻擊者提交了這條帶標(biāo)簽的數(shù)據(jù)，該條數(shù)據(jù)保存在數(shù)據(jù)庫中，而當(dāng)用戶user登錄后點(diǎn)擊更多時(shí)，在 "abc.com" 所在的服務(wù)器上，攻擊者就可以竊取到user的sessionID。有了該sessionID，攻擊者在會(huì)話有效期內(nèi)可以獲得user權(quán)限

反射型XSS

即被動(dòng)的非持久性XSS,通過篡改頁面，誘騙用戶點(diǎn)擊帶攻擊代碼的鏈接。XSS代碼出現(xiàn)在URL中，作為輸入提交到服務(wù)器中，服務(wù)器解析后響應(yīng)，XSS代碼隨著響應(yīng)內(nèi)容一起傳回瀏覽器，由瀏覽器解析執(zhí)行XSS代碼，從而攻擊用戶。

DOM-XSS 在本次項(xiàng)目中的漏洞(部分)

完成demo后，我并沒有對用戶的輸入進(jìn)行過濾然后嘗試了一下標(biāo)簽的腳本注入發(fā)現(xiàn)：

結(jié)果：輕而易舉得到了用戶名。顯然,如果不做過濾想要得到用戶的密碼也是十分簡單的

解決方案

一. 將 innerHTML替換成 textContent

innerHTML和 textContent區(qū)別：

innerHTML 返回 HTML 文本。通常，為了在元素中檢索或?qū)懭胛谋荆藗兪褂胕nnerHTML。但是，textContent通常具有更好的性能，因?yàn)槲谋静粫?huì)被解析為HTML。此外，使用textContent可以防止 XSS 攻擊。

showImg("https://segmentfault.com/img/bVSsUD?w=570&h=425");
不過這種方案存在一個(gè)問題，就是無法發(fā)送圖片。我暫時(shí)也沒有一個(gè)好一點(diǎn)的思路，還請大家指教一下~
二. input輸入框登錄名驗(yàn)證
var username = document.getElementById("username").value;
var legal = true,
    pattern = new RegExp("[<>`/?!%"]|~")
if (username.trim() != "") {
    if (pattern.test(username)) {
        alert("昵稱不能包含特殊字符:[<>`/?!%"]|~~")
            return false
        }
    else that.socket.emit("login", username)  //不為空，發(fā)起一個(gè)login事件并將輸入的昵稱發(fā)送到服務(wù)器
}
else {
    alert("昵稱不能為空")
    document.getElementById("username").focus() //否則輸入框獲得焦點(diǎn)
}
總結(jié)
總而言之，我們不能信任用戶的任何輸入，只要是需要用戶輸入的地方都需要做數(shù)據(jù)的驗(yàn)證和過濾。尤其是對,等標(biāo)簽需要格外的注意。
當(dāng)然，僅僅前端做過濾是沒有用的，用戶可以繞過前端的驗(yàn)證，將數(shù)據(jù)傳送到后端。后端必須對前端傳過來的數(shù)據(jù)進(jìn)行再次驗(yàn)證。