2. 程式人生 > >【XSS技巧拓展】————3、跨域方法總結

【XSS技巧拓展】————3、跨域方法總結

阿新 發佈:2018-12-26

最近面試問的挺多的一個問題,就是JavaScript的跨域問題。在這裡,對跨域的一些方法做個總結。由於瀏覽器的同源策略,不同域名、不同埠、不同協議都會構成跨域;但在實際的業務中,很多場景需要進行跨域傳遞資訊,這樣就催生出多種跨域方法。

具備src的標籤

  • 原理:所有具有src屬性的HTML標籤都是可以跨域的

在瀏覽器中,<script><img><iframe><link>這幾個標籤是可以載入跨域(非同源)的資源的,並且載入的方式其實相當於一次普通的GET請求,唯一不同的是,為了安全起見,瀏覽器不允許這種方式下對載入到的資源的讀寫操作,而只能使用標籤本身應當具備的能力(比如指令碼執行、樣式應用等等)。

JSONP跨域

  • 原理:<script>是可以跨域的,而且在跨域指令碼中可以直接回調當前指令碼的函式

script標籤是可以載入異域的JavaScript並執行的,通過預先設定好的callback函式來實現和母頁面的互動。它有一個大名,叫做JSONP跨域,JSONP是JSON with Padding的略稱。它是一個非官方的協議,明明是載入script,為啥和JSON扯上關係呢?原來就是這個callback函式,對它的使用有一個典型的方式,就是通過JSON來傳參,即將JSON資料填充進回撥函式,這就是JSONP的JSON+Padding的含義。JSONP只支援GET請求。

前端程式碼:

<script type="text/javascript">
    function dosomething(jsondata){
        //處理獲得的json資料
    }
</script>
<script src="http://haorooms.com/data.php?callback=dosomething"></script>

後臺程式碼:

<?php
$callback = $_GET['callback'];//得到回撥函式名
$data = array('a','b','c');//要返回的資料
echo $callback.'('.json_encode($data).')';//輸出
?>

跨域資源共享(CORS)

  • 原理:伺服器設定Access-Control-Allow-Origin HTTP響應頭之後,瀏覽器將會允許跨域請求

CORS是HTML5標準提出的跨域資源共享(Cross Origin Resource Share),支援GET、POST等所有HTTP請求。CORS需要伺服器端設定Access-Control-Allow-Origin頭,否則瀏覽器會因為安全策略攔截返回的資訊。

Access-Control-Allow-Origin: *              # 允許所有域名訪問,或者
Access-Control-Allow-Origin: http://a.com   # 只允許所有域名訪問

CORS又分為簡單跨域和非簡單跨域請求,有關CORS的詳細介紹請看阮一峰的跨域資源共享 CORS 詳解,裡面講解的非常詳細。

document.domain

  • 原理:相同主域名不同子域名下的頁面,可以設定document.domain讓它們同域

我們只需要在跨域的兩個頁面中設定document.domain就可以了。修改document.domain的方法只適用於不同子域的框架間的互動,要載入iframe頁面。

例如:
1.、在頁面 http://a.example.com/a.html 設定document.domain

<iframe id = "iframe" src="http://b.example.com/b.html" onload = "test()"></iframe>
<script type="text/javascript">
    document.domain = 'example.com';//設定成主域
    function test(){
        alert(document.getElementById('iframe').contentWindow);//contentWindow 可取得子視窗的 window 物件
    }
</script>

2、在頁面http:// b.example.com/b.html 中設定document.domain

<script type="text/javascript">
    document.domain = 'example.com';//在iframe載入這個頁面也設定document.domain,使之與主頁面的document.domain相同
</script>

window.name

  • 原理:window物件有個name屬性,該屬性有個特徵:即在一個視窗(window)的生命週期內,視窗載入的所有的頁面都是共享一個window.name的,每個頁面對window.name都有讀寫的許可權,window.name是持久存在一個視窗載入過的所有頁面中的。

這裡有三個頁面:

  • sever.com/a.html 資料存放頁面
  • agent.com/b.html 資料獲取頁面
  • agent.com/c.html 空頁面,做代理使用

a.html中,設定window.name作為需要傳遞的值
b.html中,當iframe載入後將iframe的src指向同域的c.html,這樣就可以利用iframe.contentWindow.name獲取要傳遞的值了

<body>
  <script type="text/javascript">
  iframe = document.createElement('iframe');
  iframe.style.display = 'none';
  var state = 0;
  iframe.onload = function() {
    if(state === 1) {
      var data = JSON.parse(iframe.contentWindow.name);
      alert(data);
      iframe.contentWindow.document.write('');
      iframe.contentWindow.close();
      document.body.removeChild(iframe);
    } else if(state === 0) {
      state = 1;
      iframe.contentWindow.location = 'http://agent.com/c.html';
    }
  };
  iframe.src = 'http://sever.com/a.html';
  document.body.appendChild(iframe);
  </script>
</body>

成功獲取跨域資料,效果如下:

window.postMesage

  • 原理: HTML5新增的postMessage方法,通過postMessage來傳遞資訊,對方可以通過監聽message事件來監聽資訊。可跨主域名及雙向跨域。

這裡有兩個頁面:

agent.com/index.html 
server.com/remote.html

原生代碼index.html

<body>  
    <iframe id="proxy" src="http://server.com/remote.html" onload = "postMsg()" style="display: none" ></iframe>  
    <script type="text/javascript">  
        var obj = {  
            msg: 'hello world'  
        }  
        function postMsg (){  
            var iframe = document.getElementById('proxy');  
            var win = iframe.contentWindow;  
            win.postMessage(obj,'http://server.com');  
        }  
    </script>  
</body>

postMessage的使用方法: otherWindow.postMessage(message, targetOrigin);

  • otherWindow: 指目標視窗,也就是給哪個window發訊息,是
  • window.frames 屬性的成員或者由 window.open 方法建立的視窗
  • message: 是要傳送的訊息,型別為 String、Object (IE8、9 不支援)
  • targetOrigin: 是限定訊息接收範圍,不限制請使用 ‘*’

server.com上remote.html,監聽message事件,並檢查來源是否是要通訊的域。

<head>
    <title></title>
    <script type="text/javascript">
        window.onmessage = function(e){
            if(e.origin !== 'http://localhost:8088') return;
            alert(e.data.msg+" from "+e.origin);
        }
    </script>
</head>

location.hash

原理:

  • 這個辦法比較繞,但是可以解決完全跨域情況下的腳步置換問題。原理是利用location.hash來進行傳值。www.a.com下的a.html想和www.b.com下的b.html通訊(在a.html中動態建立一個b.html的iframe來發送請求)
  • 但是由於“同源策略”的限制他們無法進行交流(b.html無法返回資料),於是就找個中間人:www.a.com下的c.html(注意是www.a.com下的)。
  • b.html將資料傳給c.html(b.html中建立c.html的iframe),由於c.html和a.html同源,於是可通過c.html將返回的資料傳回給a.html,從而達到跨域的效果。

a.html程式碼如下:

<script>
function startRequest(){  
    var ifr = document.createElement('iframe');  
    ifr.style.display = 'none';  
    ifr.src = 'http://www.b.com/b.html#sayHi'; //傳遞的location.hash 
    document.body.appendChild(ifr);  
}  
function checkHash() {  
    try {  
        var data = location.hash ? location.hash.substring(1) : '';  
        if (console.log) {  
            console.log('Now the data is '+data);  
        }  
    } catch(e) {};  
}  
setInterval(checkHash, 2000); 
window.onload = startRequest;
</script>

b.html程式碼如下:

<script>
function checkHash(){
  var data = '';
  //模擬一個簡單的引數處理操作
  switch(location.hash){
    case '#sayHello': data = 'HelloWorld';break;
    case '#sayHi': data = 'HiWorld';break;
    default: break;
  }
  data && callBack('#'+data);
}
function callBack(hash){
  // ie、chrome的安全機制無法修改parent.location.hash,所以要利用一箇中間的www.a.com域下的代理iframe
  var proxy = document.createElement('iframe');
  proxy.style.display = 'none';
  proxy.src = 'http://localhost:8088/proxy.html'+hash;  // 注意該檔案在"www.a.com"域下
  document.body.appendChild(proxy);
}
window.onload = checkHash;
</script>

由於兩個頁面不在同一個域下,IE、Chrome不允許修改parent.location.hash的值,所以要藉助於a.com域名下的一個代理iframe,這裡有一個a.com下的代理檔案c.html。Firefox可以修改。 
c.html程式碼如下:

<script>parent.parent.location.hash = self.location.hash.substring(1);  </script>

直接訪問a.html,a.html向b.html傳送的訊息為”sayHi”;b.html通過訊息判斷返回了”HiWorld”,並通過c.html改變了location.hash的值

flash URLLoader

flash有自己的一套安全策略,伺服器可以通過crossdomain.xml檔案來宣告能被哪些域的SWF檔案訪問,SWF也可以通過API來確定自身能被哪些域的SWF載入。當跨域訪問資源時,例如從域baidu.com請求域google.com上的資料,我們可以藉助flash來發送HTTP請求。首先,修改域google.com上的crossdomain.xml(一般存放在根目錄,如果沒有需要手動建立) ,把baidu.com加入到白名單。其次,通過Flash URLLoader傳送HTTP請求,最後,通過Flash API把響應結果傳遞給JavaScript。Flash URLLoader是一種很普遍的跨域解決方案,不過需要支援iOS的話,這個方案就不可行了。

小結

總的來說,常見的跨域方法如上述。在不同的業務場景下,各有適合的跨域方式。跨域解決了一些資源共享、資訊互動的難題,但是有的跨域方式可能會帶來安全問題,如jsonp可導致水坑攻擊,<img>等標籤會被用來進行xss或csrf攻擊。所以,在應用跨域的場景,需要格外注意安全問題。

相關推薦

XSS技巧拓展————3方法總結

最近面試問的挺多的一個問題,就是JavaScript的跨域問題。在這裡,對跨域的一些方法做個總結。由於瀏覽器的同源策略,不同域名、不同埠、不同協議都會構成跨域;但在實際的業務中,很多場景需要進行跨域傳遞資訊,這樣就催生出多種跨域方法。 具備src的標籤 原理:所有具有src屬性的HTM

XSS技巧拓展————5站的藝術-XSS入門與介紹

什麼是XSS? XSS全稱跨站指令碼(Cross Site Scripting),為不和層疊樣式表(Cascading Style Sheets, CSS)的縮寫混淆,故縮寫為XSS,比較合適的方式應該叫做跨站指令碼攻擊。 跨站指令碼攻擊是一種常見的web安全漏洞,它主要是指攻擊者可以在頁面

XSS技巧拓展————4淺談站指令碼攻擊與防禦

跨站指令碼簡稱xss(cross-site scripting),利用方式主要是藉助網站本身設計不嚴謹,導致執行使用者提交的惡意js指令碼,對網站自身造成危害。xss漏洞是web滲透測試中最常見而又使用最靈活的一個漏洞,近期在拜讀了《白帽子講web安全》、《Web實戰篇》、《XSS跨站指令碼

XXE技巧拓展————3XML實體注入漏洞攻與防

目錄 XML基礎 XML實體注入漏洞的幾種姿勢 防禦XML實體注入漏洞 XML基礎 XML是一種用於標記電子檔案使其具有結構性的標記語言,用於標記電子檔案使其具有結構性的標記語言,可以用來標記資料、定義資料型別,是一種允許使用者對自己的標記語言進行定義的源語言。XM

XSS技巧拓展————2再談同源策略

同源策略應該是學習 Web 安全時最最基礎的內容,時隔多年再回過頭來仔細溫習一下,發現了不少當初漏掉的細節,結合這麼多年的安全經驗,重新總結一下同源策略相關的內容。 0x00 何為同源策略 如果兩個頁面擁有相同的協議(http、https)、相同的埠(如果其中一個指定了埠)、相同的 h

XSS技巧拓展————1漫談同源策略

摘要 如今的WEB標準紛繁複雜,在瀏覽稍大一些的網站時,細心的人會發現網頁上呈現的內容並不僅限於網站自身提供的內容,而是來自一堆五花八門的網站的內容的集合。但有誰會想到同源策略在保護著網民們的安全呢? 瞭解同源策略是十分有必要的,要深入掌握XSS / CSRF等WEB安全漏洞,不瞭解同源策略

SQL注入技巧拓展————3SQL注入防禦與繞過的幾種姿勢

本文章主要以後端PHP和MySQL資料庫為例,參考了多篇文章後的集合性文章。 前言 本文章主要以後端PHP和MySQL資料庫為例,參考了多篇文章後的集合性文章,歡迎大家提出個人見解,互促成長。 一、 PHP幾種防禦姿勢 1. 關閉錯誤提示 說明:PHP配置檔案php.ini

SQL注入技巧拓展————5MySQL盲注淺析

前言 所有的測試均為無WAF的情況下進行。 註釋關鍵字 -- # 單行註釋,兩個-連線符後面緊跟著一個空格 # # 單行註釋 /**/ # 多行註釋 實踐效果: mysql> SELECT username,password FR

SQL注入技巧拓展————4高階SQL注入:混淆和繞過

【0×01】 – 簡介 大家好,這是一篇致力於文件化我們所從事的高階SQL注入技術的文章。 本文將要揭示能用於現實CMSs和WAFs程式中的高階繞過技術和混淆技術。文中所提到的SQL注入語句僅僅是一些繞過保護的方法。還有一些其他的技術能用於攻擊WEB程式,但是很不幸我們不能告訴你,因為它們就是0

SQL注入技巧拓展————2MySQL注入攻擊與防禦

本文主要是做一個Mysql的注入總結,對於Mysql來說利用的方式太過於靈活,這裡總結了一些主流的一些姿勢。 一、注入常用函式與字元 下面幾點是注入中經常會用到的語句 控制語句操作(select, case, if(), ...) 比較操作(=, like, mod()

SQL注入技巧拓展————12MongoDB安全 – PHP注入檢測

什麼是MongoDB MongoDB 是一個基於分散式檔案儲存的資料庫。MongoDB是個開源的NoSql資料庫,其通過類似於JSON格式的資料儲存,這使得它的結構就變得非常自由。通過MongoDB的查詢語句就可以查詢具體內容。 為什麼使用MongoDB 其實大部分原因只

SQL注入技巧拓展————11PostgreSQL滲透測試指南

我之所以寫這篇文章,目的在於為滲透測試人員提供測試PostgreSQL資料庫的具體方法。文章中用來演示的目標系統是Metasploitable 2,因為該系統包含許多漏洞,也存在配置不當問題。 一、前言 PostgreSQL是一個開源資料庫,主要部署於Linux作業系統中。然而,Pos

SQL注入技巧拓展————10postgresql資料庫利用方式

PostgreSQL 是一個自由的物件-關係資料庫伺服器(資料庫管理系統),本文對於postgresql的使用及利用做個總結備份。 測試系統:kali 基本使用 在root許可權下修改資料庫密碼: service postgresql start #啟動服務 su po

SQL注入技巧拓展————16繞過WAF注入

正文開始: 找到一個有裝有安全狗的站: 繞過攔截and 1=1: payload:    id=1/*!and*/1=/*!1*/     即可繞過。 通常order by 不會被攔截,攔截了繞過道理差不

劍指offor3從尾到頭列印連結串列

牛客網題目連結: 從尾到頭列印連結串列 題目描述 輸入一個連結串列,按連結串列值從尾到頭的順序返回一個ArrayList。 本題較為簡單。有兩種解法:遞迴和使用棧迴圈。 1、遞迴解法 遞迴解法,也可以有兩種寫法。 1.1、 遞迴解法一 先上程式碼,下面給解釋:

高速介面-RapidIO3RapidIO序列物理層的包傳輸過程

一、引言   前幾篇文章已經談到RapidIO的協議,序列物理層與控制符號。   RapidIO協議包括都事務(NREAD),寫事務(NWRITE),流寫事務(SWRITE),有響應的寫事務(NWRITE_R),原子操作(ATOMIC),維護操作(MAINTENANCE),門鈴事務(DOORBELL)和訊

Java虛擬機器3虛擬機器物件

--------------------------------【Java虛擬機器】系列-------------------------------- 1、Java技術體系 2、Java記憶體區域 3、虛擬機器物件 4、OutOfMemoryError異常 -

js中的方法總結

什麼是跨域? 瀏覽器的安全策略,只要協議,域名,埠有任何一個不同,就被當做不同的域。 下面對http://www.qichedaquan.com的同源檢測 http://www.qichedaquan.com/a.html  // 同源 http://www.qichedaquan.com/b.html  /

ADO.NET3從TXT中導入數據到數據庫

split src 分割 img oid data 返回 ring sage private void btnInput_Click(object sender, EventArgs e) { if (opFile.ShowDialog() != DialogR

RabbitMQ3win7下安裝RabbitMQ

默認 窗體 releases style gen gem 執行 file spl RabbitMQ依賴erlang,所以先安裝erlang,然後再安裝RabbitMQ; erlang,下載地址:http://www.erlang.org/download Rabb