Web在XSS攻击下的防御措施

由于Web业务的代码编写人员不严谨的字符限制而导致的XSS漏洞出现，XSS攻击成为了一种新的安全挑战，因此我们要对自己的计算机进行安全措施，笔者给出下面的两种方式来进行岁XSS攻击的防御。

1、代码修改

对用户所有提交内容进行验证，包括URL、查询关键字、HTTP头、POST数据等，仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交，对其它的一律过滤。接下来就是实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查，以防功能被第三方网站所执行。最后一步就是确认接收的的内容被妥善的规范化，仅包含最小的、安全的Tag，去掉任何对远程内容的引用(尤其是样式表和javascript)，使用HTTP only的cookie。

但这种方法将降低Web业务的交互能力，用户仅能提交少量指定的字符，不适应那些交互性要求较高的业务系统。而且Web业务的编码人员很少有受过正规的安全培训，即便是专业的安全公司，由于侧重点的不同，也很难完全避免XSS攻击：2008年1月，xssed.com的一份报告指出McAfee、Symantec、VeriSign这三家安全公司的官方站点存在约30个XSS漏洞。

2、部署专业的防御设备

用户在选择相应的入侵防御产品对应用层攻击的检测防御能力之前，最好先了解一下相关产品的XSS、SQL注入等Web威胁的检测方式，因为有些入侵防御产品采用的还是传统的特征匹配方法，这种模式匹配的方法存在的客观缺点太多，通过编码或插入TAB键方式可以轻易躲避，而且还存在极大的误报可能。

比较好的方式是选择那些基于攻击手法或者说基于攻击原理检测的入侵防御产品。启明星辰公司于近期发布天清入侵防御系统的新版本，没有采用传统的特征匹配方式，而是采用了行为特征分析方式，通过分析XSS所有可能的攻击手法，建立一个XSS攻击行为库来分析判断XSS攻击。采用了这种方法的入侵防御产品可以避免传统安全产品在XSS攻击检测上的漏报和误报，实现精确阻断，为面临XSS威胁的广大网络管理员提供一个很好的选择。