當(dāng)我們說“前端安全問題”的時(shí)候，我們?cè)谡f什么

“安全”是個(gè)很大的話題，各種安全問題的類型也是種類繁多。如果我們把安全問題按照所發(fā)生的區(qū)域來進(jìn)行分類的話，那么所有發(fā)生在后端服務(wù)器、應(yīng)用、服務(wù)當(dāng)中的安全問題就是“后端安全問題”，所有發(fā)生在瀏覽器、單頁(yè)面應(yīng)用、Web頁(yè)面當(dāng)中的安全問題則算是“前端安全問題”。比如說，SQL注入漏洞發(fā)生在后端應(yīng)用中，是后端安全問題，跨站腳本攻擊(XSS)則是前端安全問題，因?yàn)樗l(fā)生在用戶的瀏覽器里。

[[208694]]

除了從安全問題發(fā)生的區(qū)域來分類之外，也可以從另一個(gè)維度來判斷：針對(duì)某個(gè)安全問題，團(tuán)隊(duì)中的哪個(gè)角色最適合來修復(fù)它?是后端開發(fā)還是前端開發(fā)?

總的來說，當(dāng)我們下面在談?wù)?ldquo;前端安全問題”的時(shí)候，我們說的是發(fā)生在瀏覽器、前端應(yīng)用當(dāng)中，或者通常由前端開發(fā)工程師來對(duì)其進(jìn)行修復(fù)的安全問題。

8大前端安全問題

按照上面的分類辦法，我們總結(jié)出了8大典型的前端安全問題，它們分別是：

• 老生常談的XSS
• 警惕iframe帶來的風(fēng)險(xiǎn)
• 別被點(diǎn)擊劫持了
• 錯(cuò)誤的內(nèi)容推斷
• 防火防盜防豬隊(duì)友：不安全的第三方依賴包
• 用了HTTPS也可能掉坑里
• 本地存儲(chǔ)數(shù)據(jù)泄露
• 缺失靜態(tài)資源完整性校驗(yàn)

由于篇幅所限，本篇文章先給各位介紹前4個(gè)前端安全問題。

老生常談的XSS

XSS是跨站腳本攻擊(Cross-Site Scripting)的簡(jiǎn)稱，它是個(gè)老油條了，在OWASP Web Application Top 10排行榜中長(zhǎng)期霸榜，從未掉出過前三名。XSS這類安全問題發(fā)生的本質(zhì)原因在于，瀏覽器錯(cuò)誤的將攻擊者提供的用戶輸入數(shù)據(jù)當(dāng)做JavaScript腳本給執(zhí)行了。

XSS有幾種不同的分類辦法，例如按照惡意輸入的腳本是否在應(yīng)用中存儲(chǔ)，XSS被劃分為“存儲(chǔ)型XSS”和“反射型XSS”，如果按照是否和服務(wù)器有交互，又可以劃分為“Server Side XSS”和“DOM based XSS”。

無論怎么分類，XSS漏洞始終是威脅用戶的一個(gè)安全隱患。攻擊者可以利用XSS漏洞來竊取包括用戶身份信息在內(nèi)的各種敏感信息、修改Web頁(yè)面以欺騙用戶，甚至控制受害者瀏覽器，或者和其他漏洞結(jié)合起來形成蠕蟲攻擊，等等。總之，關(guān)于XSS漏洞的利用，只有想不到?jīng)]有做不到。

如何防御

防御XSS最佳的做法就是對(duì)數(shù)據(jù)進(jìn)行嚴(yán)格的輸出編碼，使得攻擊者提供的數(shù)據(jù)不再被瀏覽器認(rèn)為是腳本而被誤執(zhí)行。例如<script>在進(jìn)行HTML編碼后變成了&lt;script&gt;，而這段數(shù)據(jù)就會(huì)被瀏覽器認(rèn)為只是一段普通的字符串，而不會(huì)被當(dāng)做腳本執(zhí)行了。

編碼也不是件容易的事情，需要根據(jù)輸出數(shù)據(jù)所在的上下文來進(jìn)行相應(yīng)的編碼。例如剛才的例子，由于數(shù)據(jù)將被放置于HTML元素中，因此進(jìn)行的是HTML編碼，而如果數(shù)據(jù)將被放置于URL中，則需要進(jìn)行URL編碼，將其變?yōu)?3Cscript%3E。此外，還有JavaScript編碼、CSS編碼、HTML屬性編碼、JSON編碼等等。好在現(xiàn)如今的前端開發(fā)框架基本上都默認(rèn)提供了前端輸出編碼，這大大減輕了前端開發(fā)小伙伴們的工作負(fù)擔(dān)。

其他的防御措施，例如設(shè)置CSP HTTP Header、輸入驗(yàn)證、開啟瀏覽器XSS防御等等都是可選項(xiàng)，原因在于這些措施都存在被繞過的可能，并不能完全保證能防御XSS攻擊。不過它們和輸出編碼卻可以共同協(xié)作實(shí)施縱深防御策略。

你可以查閱OWASP XSS Prevention Cheat Sheet，里面有關(guān)于XSS及其防御措施的詳細(xì)說明。

警惕iframe帶來的風(fēng)險(xiǎn)

有些時(shí)候我們的前端頁(yè)面需要用到第三方提供的頁(yè)面組件，通常會(huì)以iframe的方式引入。典型的例子是使用iframe在頁(yè)面上添加第三方提供的廣告、天氣預(yù)報(bào)、社交分享插件等等。

iframe在給我們的頁(yè)面帶來更多豐富的內(nèi)容和能力的同時(shí)，也帶來了不少的安全隱患。因?yàn)閕frame中的內(nèi)容是由第三方來提供的，默認(rèn)情況下他們不受我們的控制，他們可以在iframe中運(yùn)行JavaScirpt腳本、Flash插件、彈出對(duì)話框等等，這可能會(huì)破壞前端用戶體驗(yàn)。

[[208695]]

如果說iframe只是有可能會(huì)給用戶體驗(yàn)帶來影響，看似風(fēng)險(xiǎn)不大，那么如果iframe中的域名因?yàn)檫^期而被惡意攻擊者搶注，或者第三方被黑客攻破，iframe中的內(nèi)容被替換掉了，從而利用用戶瀏覽器中的安全漏洞下載安裝木馬、惡意勒索軟件等等，這問題可就大了。

如何防御

還好在HTML5中，iframe有了一個(gè)叫做sandbox的安全屬性，通過它可以對(duì)iframe的行為進(jìn)行各種限制，充分實(shí)現(xiàn)“最小權(quán)限“原則。使用sandbox的最簡(jiǎn)單的方式就是只在iframe元素中添加上這個(gè)關(guān)鍵詞就好，就像下面這樣：

<iframe sandbox src="..."> ... </iframe>  

sandbox還忠實(shí)的實(shí)現(xiàn)了“Secure By Default”原則，也就是說，如果你只是添加上這個(gè)屬性而保持屬性值為空，那么瀏覽器將會(huì)對(duì)iframe實(shí)施史上最嚴(yán)厲的調(diào)控限制，基本上來講就是除了允許顯示靜態(tài)資源以外，其他什么都做不了。比如不準(zhǔn)提交表單、不準(zhǔn)彈窗、不準(zhǔn)執(zhí)行腳本等等，連Origin都會(huì)被強(qiáng)制重新分配一個(gè)唯一的值，換句話講就是iframe中的頁(yè)面訪問它自己的服務(wù)器都會(huì)被算作跨域請(qǐng)求。

另外，sandbox也提供了豐富的配置參數(shù)，我們可以進(jìn)行較為細(xì)粒度的控制。一些典型的參數(shù)如下：

• allow-forms：允許iframe中提交form表單
• allow-popups：允許iframe中彈出新的窗口或者標(biāo)簽頁(yè)(例如，window.open()，showModalDialog()，target=”_blank”等等)
• allow-scripts：允許iframe中執(zhí)行JavaScript
• allow-same-origin：允許iframe中的網(wǎng)頁(yè)開啟同源策略

更多詳細(xì)的資料，可以參考iframe中關(guān)于sandbox的介紹。

別被點(diǎn)擊劫持了

有個(gè)詞叫做防不勝防，我們?cè)谕ㄟ^iframe使用別人提供的內(nèi)容時(shí)，我們自己的頁(yè)面也可能正在被不法分子放到他們精心構(gòu)造的iframe或者frame當(dāng)中，進(jìn)行點(diǎn)擊劫持攻擊。

[[208696]]

這是一種欺騙性比較強(qiáng)，同時(shí)也需要用戶高度參與才能完成的一種攻擊。通常的攻擊步驟是這樣的：

• 攻擊者精心構(gòu)造一個(gè)誘導(dǎo)用戶點(diǎn)擊的內(nèi)容，比如Web頁(yè)面小游戲;
• 將我們的頁(yè)面放入到iframe當(dāng)中;
• 利用z-index等CSS樣式將這個(gè)iframe疊加到小游戲的垂直方向的正上方;
• 把iframe設(shè)置為100%透明度;
• 受害者訪問到這個(gè)頁(yè)面后，肉眼看到的是一個(gè)小游戲，如果受到誘導(dǎo)進(jìn)行了點(diǎn)擊的話，實(shí)際上點(diǎn)擊到的卻是iframe中的我們的頁(yè)面。

點(diǎn)擊劫持的危害在于，攻擊利用了受害者的用戶身份，在其不知情的情況下進(jìn)行一些操作。如果只是迫使用戶關(guān)注某個(gè)微博賬號(hào)的話，看上去仿佛還可以承受，但是如果是刪除某個(gè)重要文件記錄，或者竊取敏感信息，那么造成的危害可就難以承受了。

如何防御

有多種防御措施都可以防止頁(yè)面遭到點(diǎn)擊劫持攻擊，例如Frame Breaking方案。一個(gè)推薦的防御方案是，使用X-Frame-Options：DENY這個(gè)HTTP Header來明確的告知瀏覽器，不要把當(dāng)前HTTP響應(yīng)中的內(nèi)容在HTML Frame中顯示出來。

關(guān)于點(diǎn)擊劫持更多的細(xì)節(jié)，可以查閱OWASP Clickjacking Defense Cheat Sheet。

錯(cuò)誤的內(nèi)容推斷

想象這樣一個(gè)攻擊場(chǎng)景：某網(wǎng)站允許用戶在評(píng)論里上傳圖片，攻擊者在上傳圖片的時(shí)候，看似提交的是個(gè)圖片文件，實(shí)則是個(gè)含有JavaScript的腳本文件。該文件逃過了文件類型校驗(yàn)(這涉及到了惡意文件上傳這個(gè)常見安全問題，但是由于和前端相關(guān)度不高因此暫不詳細(xì)介紹)，在服務(wù)器里存儲(chǔ)了下來。接下來，受害者在訪問這段評(píng)論的時(shí)候，瀏覽器會(huì)去請(qǐng)求這個(gè)偽裝成圖片的JavaScript腳本，而此時(shí)如果瀏覽器錯(cuò)誤的推斷了這個(gè)響應(yīng)的內(nèi)容類型(MIME types)，那么就會(huì)把這個(gè)圖片文件當(dāng)做JavaScript腳本執(zhí)行，于是攻擊也就成功了。

問題的關(guān)鍵就在于，后端服務(wù)器在返回的響應(yīng)中設(shè)置的Content-Type Header僅僅只是給瀏覽器提供當(dāng)前響應(yīng)內(nèi)容類型的建議，而瀏覽器有可能會(huì)自作主張的根據(jù)響應(yīng)中的實(shí)際內(nèi)容去推斷內(nèi)容的類型。

在上面的例子中，后端通過Content-Type Header建議瀏覽器按照?qǐng)D片來渲染這次的HTTP響應(yīng)，但是瀏覽器發(fā)現(xiàn)響應(yīng)中其實(shí)是JavaScript，于是就擅自做主把這段響應(yīng)當(dāng)做JS腳本來解釋執(zhí)行，安全問題也就產(chǎn)生了。

如何防御

瀏覽器根據(jù)響應(yīng)內(nèi)容來推斷其類型，本來這是個(gè)很“智能”的功能，是瀏覽器強(qiáng)大的容錯(cuò)能力的體現(xiàn)，但是卻會(huì)帶來安全風(fēng)險(xiǎn)。要避免出現(xiàn)這樣的安全問題，辦法就是通過設(shè)置X-Content-Type-Options這個(gè)HTTP Header明確禁止瀏覽器去推斷響應(yīng)類型。

同樣是上面的攻擊場(chǎng)景，后端服務(wù)器返回的Content-Type建議瀏覽器按照?qǐng)D片進(jìn)行內(nèi)容渲染，瀏覽器發(fā)現(xiàn)有X-Content-Type-OptionsHTTP Header的存在，并且其參數(shù)值是nosniff，因此不會(huì)再去推斷內(nèi)容類型，而是強(qiáng)制按照?qǐng)D片進(jìn)行渲染，那么因?yàn)閷?shí)際上這是一段JS腳本而非真實(shí)的圖片，因此這段腳本就會(huì)被瀏覽器當(dāng)作是一個(gè)已經(jīng)損壞或者格式不正確的圖片來處理，而不是當(dāng)作JS腳本來處理，從而最終防止了安全問題的發(fā)生。

小結(jié)

本文對(duì)前端安全問題進(jìn)行了一次梳理，介紹了其中4個(gè)典型的前端安全問題，包括它們發(fā)生的原因以及防御辦法。在下篇文章中，我們將介紹其他的幾個(gè)前端安全問題，敬請(qǐng)期待。

【本文是51CTO專欄作者“ThoughtWorks”的原創(chuàng)稿件，微信公眾號(hào)：思特沃克，轉(zhuǎn)載請(qǐng)聯(lián)系原作者】

戳這里，看該作者更多好文