V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
he583899772
V2EX  ›  程序员

紧急求救老程序员!!!缺少跨站框架脚本保护啥意思啊

  •  
  •   he583899772 · 2018-01-29 16:24:37 +08:00 · 3883 次点击
    这是一个创建于 2494 天前的主题,其中的信息可能已经有所发展或是发生改变。
    公司网站被人说缺少跨站框架脚本保护,要求整改,但是完全不知到什么意思,小型的电商网站。如果需要链接,小弟待会贴出
    15 条回复    2018-01-30 11:32:02 +08:00
    whx20202
        1
    whx20202  
       2018-01-29 16:27:39 +08:00
    跨站 框架 脚本 保护?
    估计是无法防御 xss 或者 csrf 漏洞把?
    1iuh
        2
    1iuh  
       2018-01-29 16:29:12 +08:00
    就是无法防御 csrf 的意思。
    yulitian888
        3
    yulitian888  
       2018-01-29 16:31:12 +08:00
    XSS 吧
    简单来说,比如我在某论坛里发帖子,帖子正文写这样的东西:
    <script>alert("本论坛即将于某年月日关闭,请及时保存数据迁移到 XXX 论坛");</script>
    如果不做任何处理的话,在别人浏览的时候,吼吼~~~~
    he583899772
        4
    he583899772  
    OP
       2018-01-29 16:33:08 +08:00
    @yulitian888 问题是,常用的 xss 攻击我都试了,过滤了啊,注入都没什么用
    explon
        5
    explon  
       2018-01-29 16:34:35 +08:00
    这种听风就是雨的傻领导还要跟?
    he583899772
        6
    he583899772  
    OP
       2018-01-29 16:37:13 +08:00
    @explon 领导不懂技术啊
    yulitian888
        7
    yulitian888  
       2018-01-29 16:40:19 +08:00
    @he583899772 不排除还有用 get 方式操作数据资源的情况,比如写一个类似这样的玩意,诱导用户打开:
    <img src="http://一个域名 /page.php?Buy=11&Count=10&money=1000">
    而假设此时用户的 Session 是合法的,于是。。。
    zwl2012
        8
    zwl2012  
       2018-01-29 16:56:11 +08:00 via iPhone
    @he583899772 csrf 跟 xss 有关联但并不相同,xxs 是不影响服务端,csrf 是伪造用户请求攻击服务端,比如用户访问恶意站点后,执行恶意脚本伪造用户请求发帖。因为用户访问携带了 session,在你看来是完全合法的请求。也有解决方法,用户提交数据必须携带 csrf_token,否则不予认可,token 每次请求都刷新一遍即可。
    he583899772
        9
    he583899772  
    OP
       2018-01-29 16:59:52 +08:00
    @zwl2012 谢谢解答,有点思路了
    sunjourney
        10
    sunjourney  
       2018-01-29 17:14:43 +08:00
    用 appscan 扫一下?
    yichinzhu
        11
    yichinzhu  
       2018-01-29 17:27:07 +08:00   ❤️ 1
    cross frame scripting, 漏洞原理参考:

    https://www.owasp.org/index.php/Cross_Frame_Scripting

    http://cuishen.iteye.com/blog/1924097

    一般是国外的一些扫描器会扫出来,国内很少关注这个漏洞,危害比较小。

    修复方式: http 响应头设置 X-Frame-Options,禁止网页以 frame 形式加载,或限制仅本域能以 frame 形式加载

    https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
    fate
        12
    fate  
       2018-01-29 17:35:26 +08:00
    那你就说加上了
    yichinzhu
        13
    yichinzhu  
       2018-01-29 18:19:56 +08:00
    p.s. xss 全称 Cross-site Scripting 中文名跨站脚本攻击,csrf 全称 Cross-Site Request Forgery 中文名跨站请求伪造
    rqrq
        14
    rqrq  
       2018-01-30 10:23:15 +08:00
    csrf 最简单的防御就是跟写入有关的 url,包括退出登录,用 POST 来提交,后端验证是 POST 才处理。
    CloudMx
        15
    CloudMx  
       2018-01-30 11:32:02 +08:00
    @rqrq POST 是解决不了 CSRF 的,CSRF 可以 GET 方式也可以 POST 方式。验证 REFERER,token 才是王道,如有 XSS 这种就全没用了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3621 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 10:45 · PVG 18:45 · LAX 02:45 · JFK 05:45
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.