xss的防御

XSS产生的原因

xss是怎么产生的呢？是由于网站(包括前端部分和后端部分)没有对用户提交的数据过滤或者过滤不严导致服务器生成的HTML文件被破坏掉了原有的结构。

本来是要生成下面的HTML文档的

<body>
我在学习XSS
</body>

结果生成了

<body>
我在学习XSS</body><script src='bad.js'></script>
</body>

这和原本的HTML是完全不同的结构。

xss的防御

知道了问题产生的原因，自然防御的方法就有了。问题出在“没有对用户提交的数据过滤”上面，那么防御的方法自然就是过滤数据了，这是其一，其二我觉得浏览器本身可以在获取到HTML文件之后可以主动分析潜在的可能包含XSS的HTML。

1.在客户端js中过滤

我写了一个简单的小案例。

<!doctype html>
<html>
<head>
  <script>
  function checkText()
  {

    var a=document.getElementById('inputName');
    var b=a.value;
    if(b.indexOf("<")>=0)
    {
      alert('xss!');
      a.value='';//清空输入框，重新输入
      return false;//不提交数据
    }
    alert('good');
    return true;//提交数据
  }

  </script>
</head>
<body>

<form method='get' >
<input type='text' id='inputName' name='name' value=''></input>
<input type='submit' onClick='return checkText();'></input>
<!--不能写成onClick='checkText();' 否则会永远提交数据 为什么？-->
</form>

</body>

</html>

2.在服务器端过滤

由于我不会php，就不写代码了，但是思路是和客户端过滤一样的。

3.浏览器本身的功能

这个功能我不知道现在的浏览器有没有，也不知道是不是我第一个想出来的，哈哈。暂时就把这个功能叫主动防御吧。具体思路就是浏览器把每个收到的html文件都分析一遍，查看有没有可能包含潜在的xss，具体策略可以是如下：
1.统计一个标签占用的字符数，如果某个标签占用的字符数异常了就给出提醒。
比如

<input type='text' id='inputName' name='name' value=''></input>

它可能平均占用的是64个字符，如果被xss了，那么就会导致input标签被截断，这就导致它占用的字符少于64个了。
2.统计一个HTML加载的js文件以及分析js文件和html文件的相关性，也可以从js的功能方面防御。
比如平常一个网站加载10个js文件，某天突然就加载了11个。
比如正常的js应该都是处理html的数据的，某天某个js用来获取cooke了。

现在不是机器学习和大数据很火嘛，个人觉得是可以让浏览器训练一下，给它十万个xss页面，让它自我学习一下，以后就可以直接提醒用户你访问的页面可能包含xss。