Web安全開發(fā)建議

Web安全問題，很多時候會被人所忽略，安全漏洞造成了很多不必要的維護(hù)和開發(fā)任務(wù)，產(chǎn)生的問題有時候更是致命的。
實際上，只要我們養(yǎng)成一些習(xí)慣，知道一些安全問題的基本原理，可以很大程度避免問題的出現(xiàn)，這也是一個優(yōu)秀Web程序員的必備素質(zhì)。

UI變量轉(zhuǎn)義規(guī)范

什么是UI變量？凡是出現(xiàn)在HTML中由后端輸出（或由JSON渲染）的變量都可稱之為UI變量，它可以是PHP變量、Smarty變量、JSP變量或前端模版變量等等。

有些模版自帶了轉(zhuǎn)義功能，比如Smarty可以對HTML或JavaScript轉(zhuǎn)義：

Data: <h2>"Ricky"</h2>
Template: <{$name|escape:html|escape:javascript}>
Output: &lt;h2&gt;&quot;Ricky&quot;&lt;\/h2&gt;

Mustache默認(rèn)自動對HTML轉(zhuǎn)義（雙花括號是wiki的語法，所以本文Mustache模版標(biāo)簽用{<>}表示）：

Data: <h2>Ricky</h2>
Template: {<name>}
Output: &lt;h2&gt;Ricky&lt;\/h2&gt;

如果不想轉(zhuǎn)義，可以使用3個花括號：{`name`}

注意：當(dāng)沒有使用具有轉(zhuǎn)義功能的模版時，一定要在程序中對UI變量進(jìn)行轉(zhuǎn)義。對后端傳來的數(shù)據(jù)，都采取不信任的策略。

根據(jù)UI變量出現(xiàn)的位置不同，轉(zhuǎn)義規(guī)則也不同，常見的有以下幾種情況：

UI變量出現(xiàn)在HTML標(biāo)簽中或標(biāo)簽的屬性中

實例：

<div>{<content>}</div>
<input type='checkbox' value='{<value1>}' />
<input type="text" value="{<value2>}" />

轉(zhuǎn)義規(guī)則：

UI變量出現(xiàn)在<script>標(biāo)簽中

實例：

<script>
    var email = '{<email>}';
    var name = "{<name>}";
    /*{<sex>} will not use */
</script>

轉(zhuǎn)義規(guī)則：

注意：注釋也會存在漏洞，代碼上線前要進(jìn)行壓縮，去掉注釋。

UI變量出現(xiàn)在JS環(huán)境的innerHTML插入字符串中

實例：

<script>
    $("#tip").innerHTML = "您好！" + "{<username>}";
</script>

轉(zhuǎn)義規(guī)則：

UI變量出現(xiàn)在HTML頁面onclick等事件函數(shù)的參數(shù)中

實例：

<input type="button"  value="提交" />

轉(zhuǎn)義規(guī)則：

注意：實際開發(fā)中，應(yīng)使用事件綁定，避免這種寫法。

UI變量出現(xiàn)在URL中

實例：

<a >進(jìn)入旭日</a>

轉(zhuǎn)義規(guī)則：

其他注意事項

從cookie/url中獲取數(shù)據(jù)

實例：

<script>
   var url = location.href;
   //var cookie = document.cookie;
   $("#Show").html(encodeHTML(url));
</script>

說明：從cookie或頁面的url中獲取的數(shù)據(jù)都是不可信任的，可能包含惡意代碼。

避免document.write + location.href的寫法

實例：

<script>
   document.write('<input type="hidden" name="url" value="' + location.href + '" />');
</script>

正確寫法：

<input type="hidden" name="url" value="" />
<script>
   document.getElementsByName("url").value = location.href;
</script>

說明：直接向頁面輸出帶有url的HTML，可能會執(zhí)行含惡意代碼。

謹(jǐn)慎使用document.domain解決跨域問題

說明：當(dāng)域為a.sogou.com的A頁面內(nèi)嵌域為b.sogou.com的B頁面時，可以通過設(shè)置domain為sogou.com使兩個頁面進(jìn)行通信。但這樣的設(shè)置使安全隱患得以擴(kuò)大化，如果B頁面存在XSS漏洞，那么就可以通過B頁面操控正常的A頁面。

Json數(shù)據(jù)conentType的設(shè)置

說明：Json數(shù)據(jù)的Response要設(shè)置contentType為“text/javascript”，避免未設(shè)置或者設(shè)置成“text/html”。否則容易注入JavaScript腳本，并當(dāng)著普通頁面來運行。

Flash跨域crossdomain.xml配置

做跨域通信通常會用到Flash，這需要在server部署一個crossdomain.xml文件，通常為：

<?xml version="1.0"?>
<cross-domain-policy>
    <allow-access-from domain="*" />
</cross-domain-policy>

這表示允許任何域的Flash對本server進(jìn)行訪問，如果Flash是用戶上傳的，就可能包含惡意代碼。

解決辦法：只允許搜狗域的Flash訪問

<?xml version="1.0"?>
<cross-domain-policy>
    <allow-access-from domain="*.sogou.com" />
</cross-domain-policy>

在頁面中插入Flash的安全設(shè)置

如果展現(xiàn)來自用戶上傳的Flash，需要設(shè)置一下2個參數(shù)：

• allowScriptAccess: "never" //絕對禁止Flash與頁面元素及腳本的通訊

• allowNetworking: "none" //禁止任何的網(wǎng)絡(luò)通訊

不要隨意嵌套第三方頁面

不要使用iframe或者其他形式隨意嵌套第三方頁面，第三方頁面會包含不可控的因素，譬如含有***瀏覽者的惡意代碼。如果第三方頁面存在漏洞，***者可以通過***第三方來實現(xiàn)***父頁面。

防范CSRF（跨站點請求偽造）***

• 盡量使用POST提交

• 添加refer的檢查

• form表單提交添加圖形驗證碼

• 添加token驗證