最近在看《白帽子讲Web安全》这本书，对于XSS有了一定的了解。现在对于书中关于防御XSS的4种方法做一些总结与解说。

XSS的本质

XSS事件发生在网站前端，在相关的数据替换到前端页面中时，新旧数据结合，混淆了页面原本的语义，产生了新的语义。以下面这种情况为例：

test

将$var的值注入到页面中，本来是为了提供一个跳转用的url地址。但若将$var的值设为" οnclick=alert(1)\，则以上HTML变为了：

test

点击test文字后，会进行alert输出，即改变了原有的HTML语义。

HtmlEncode

当$var变量出现在HTML标签或属性中时，XSS可分别通过以下两种方法来进行注入。

在HTML标签中，如下所示：

$var

若不对$var进行任何处理，当$var的值为时，在一些老式的浏览器中，HTML代码如下：

则这些浏览器会执行alert的js操作，实现了XSS注入。

在HTML属性中，如下所示：

test

若不对$var进行任何处理，当$var的值为"> 时，HTML代码如下：

">test

则浏览器会执行alert的js操作，实现了XSS注入。

为了防御这两种XSS，可以采用对$var变量进行HtmlEncode的方法。HtmlEncode的作用是将$var的一些字符进行转化，使得浏览器在最终输出结果上是一样的，但能够防止注入的JavaScript执行。

HtmlEncode支持的转换举例如下：

& --> &

< --> <

> --> >

以

为例，对$var进行HtmlEncode后的结果为：

以上HTML在浏览器中的显示结果就是，实现了将$var作为纯文本进行了输出，且不引起JavaScript的执行。

JavaScriptEncode

当$var变量出现在

var x = "$var";

若不对$var进行任何处理，当$var的值为";alert(1);"时，JavaScript代码如下：

var x = "";alert(1);""

则浏览器会执行alert的js操作，实现了XSS注入。

为了防御这种XSS，可以采用对$var变量进行JavaScriptEncode的方法。JavaScriptEncode的作用可以是将$var中除了数字、字母外的所有字符进行十六进制化处理，使得浏览器最终输出结果上是一样的，但能够防止注入的JavaScript执行。

以

";alert(1);"

为例，对$var进行JavaScriptEncode后的结果为：

\x22\x3balert\x281\x29\x3b\x22

其中\x28代表(，\x29代表)，以上字符串在JavaScript环境中即为"alert(1)"，内容不变，但XSS并不执行。

CSSEncode

当$var变量出现在

css中xss的注入，在现在的浏览器中基本已经被禁止了，因此也比较少见。

URLEncode

当$var变量出现在url跳转地址中时，XSS可通过以下方法来进行注入，示例如下：

test

若不对$var进行任何处理，当$var的值为" οnclick="alert(1);return false;"时，代码如下：

test

此时就会阻止了url页面跳转，实现了XSS注入。

为了防御这种XSS，可以采用对$var变量进行URLEncode的方法。URLEncode的作用是将字符转化为%HH的形式，支持的转换举例如下：

空格 --> %20

< --> %3c

> --> %3e

以上述的

" οnclick="alert(1);return false;"

为例，URLEncode后的结果如下：

%22%20onclick%3d%22alert%281%29%3breturn%20false%3b%22

原有代码变为：

test

此时便阻止了XSS的注入。

如果上述例子改为：

test

即$var指代了完整的url地址，则可能出现以下两种情况：

test

test2

这两种代码都能够注入XSS，为了防御这些情况，可以先检测$var中是否包含url的protocol字段，如果没有，就加上，再对整个url进行URLEncode处理。

结语

以上是我的一些经验与心得，若有不足之处，请予指正。希望这篇文章对你有所帮助_。