XSS中如何绕过客户端编码

Question

我听到每个人都说输出编码必须在客户端而不是服务器端完成。我的问题是：它不会随上下文而变化吗？

1. 是否存在客户端输出编码足够好的情况 无法绕过吗？
2. 如果我使用像 encodeURIComponent 这样的客户端 js 函数来编码导致 XSS 的 url，那么攻击者如何绕过这个并仍然导致 XSS？
3. XSS 也可能导致网络钓鱼。如果我至少进行输出编码可以防止网络钓鱼吗？

Answer 1

简而言之，XSS 编码需要在数据放入 html 或 javascript 中（无论是服务器端还是客户端）时发生。我可以很容易地想象，放入服务器端脚本标记中的数据开始正确编码，但客户端的 JavaScript 会以不安全的方式使用该值，从而创建 XSS 漏洞。

因此，当将不受信任的数据放入网页时（无论是在 html 标签中、内部标签中、在 css 中等 - 请参阅 OWASP XSS 预防备忘单），我们需要进行编码。然后，当我们来到客户端时，我们还需要确保我们的 javascript 不会引入 XSS 问题。例如，这可能是基于 DOM 的 XSS，或者上面提到的示例。

所以我的答案是，您需要在服务器端和客户端上进行编码。

我不明白第三个问题有什么关系。网络钓鱼可能以多种不同的方式发生。在完全不同的域上，只是模仿原始页面等。

编辑：还有一件事。如果不可信的数据未经编码就被放入页面服务器端，则客户端几乎无法修复该问题。很可能已经太晚了。

Answer 2

Erlend 的回答很漂亮。我想分享我关于输出编码的发现。

在服务器端完成的输出编码比在客户端更好。

您可以从 OWASP Xss Prevention 获取有关输出编码的更多知识

，并且您可以也做这个客户端。如果您打算在 html 上下文中使用不可信（用户给定的输入）数据，请使用 javascript 的本机 api insideText IE 文档（moz 的 textContent）或对字符进行编码(<,>,',",/,) 到 html 实体中