Angular9 中文教程
Angular9 中文教程
  1. Anguler9 中文教程总览
    1. Angular9 简介
  2. Angular9 快速上手
    1. Angular9 搭建环境
    2. Angular9 基本概念
      1. Angular9 架构概览
      2. Angular9 模块简介
      3. Angular9 组件简介
      4. Angular9 服务与 DI 简介
      5. Angular9 技能扩展
    3. Angular9 英雄指南
      1. Hero guide 简介
      2. Hero guide 创建项目
      3. Hero guide 编辑器
      4. Hero guide 显示列表
      5. Hero guide 创建特性组件
      6. Hero guide 添加服务
      7. Hero guide 添加应用内导航
      8. Hero guide 从服务器端获取数据
    4. Angular9 词汇表
  3. Angular9 基础知识
    1. Angular9 组件与模板
      1. Angular9 显示数据
      2. Angular9 模板语法
      3. Angular9 用户输入
      4. Angular9 属性型指令
      5. Angular9 结构型指令
      6. Angular9 管道
      7. Angular9 生命周期钩子
      8. Angular9 组件交互
      9. Angular9 组件样式
      10. Angular9动态组件
      11. Angular9 元素
    2. Angular9 表单与用户输入
      1. Angular9 表单简介
      2. Angular9 响应式表单
      3. Angular9 验证表单输入
      4. Angular9 构建动态表单
    3. Angular9 Observable 与 RxJS
      1. Angular9 Observable 概览
      2. Angular9 RxJS库
      3. Angular9 可观察对象
      4. Angular9 可观察对象用法实战
      5. Angular9 与其他技术比较
    4. Angular9 NgModule
      1. Angular9 NgModules 简介
      2. Angular9 JS 模块与 NgMoudule 比较
      3. Angular9 以根模块启动应用
      4. Angular9 常用模块
      5. Angular9 特性模块分类
      6. Angular9 入口组件
      7. Angular9 特性模块
      8. Angular9 提供依赖
      9. Angular9 单例服务
      10. Angular9 惰性加载
      11. Angular9 共享特性模块
      12. Angular9 NgModule API
      13. Angular9 NgModule 常见问题
    5. Angular9 依赖注入
      1. Angular9 依赖注入
      2. Angular9 多级注入器
      3. Angular9 DI 提供者
      4. Angular9 DI 实战
      5. Angular9 浏览组件树
    6. Angular9 通过 HTTP 访问服务器
      1. Angular9 准备工作
      2. Angular9 请求数据
      3. Angular9 处理请求错误
      4. Angular9 向服务器发送数据
      5. Angular9 配置 URL 参数
      6. Angular9 拦截请求和响应
      7. Angular9 跟踪和显示请求进度
      8. Angular9 防抖优化
      9. Angular9 XSRF 防护
      10. Angular9 测试 HTTP 请求
    7. Angular9 路由与导航
      1. Angular9 生成路由应用
      2. Angular9 定义基本路由
      3. Angular9 获取路由信息
      4. Angular9 设置通配符路由
      5. Angular9 嵌套路由
      6. Angular9 相对路径
      7. Angular9 访问查询参数与片段
      8. Angular9 路由器教程
        1. Route 起步
        2. Route 路由模块
        3. Route特性区
        4. Route 子路由
        5. Route 路由守卫
        6. Route 异步路由
      9. Angular9 LocationStrategy 和浏览器网址样式
      10. Angular9 <base href>
      11. Angular9 路由器参考手册
    8. Angular9 安全
      1. Angular9 防范跨站脚本(XSS)攻击
      2. Angular9 信任安全值
      3. Angular9 HTTP级别漏洞
阅读(2.7k) 书签 (0) 我要纠错

Angular9 防范跨站脚本(XSS)攻击

2020-07-08 14:27 更新

跨站脚本(XSS)允许攻击者将恶意代码注入到页面中。这些代码可以偷取用户数据 (特别是它们的登录数据),还可以冒充用户执行操作。它是 Web 上最常见的攻击方式之一。

为了防范 XSS 攻击,你必须阻止恶意代码进入 DOM。比如,如果某个攻击者能骗你把 <script> 标签插入到 DOM,就可以在你的网站上运行任何代码。 除了 <script>,攻击者还可以使用很多 DOM 元素和属性来执行代码,比如 <img onerror="..."><a href="javascript:...">。 如果攻击者所控制的数据混进了 DOM,就会导致安全漏洞。

Angular 的“跨站脚本安全模型”

为了系统性的防范 XSS 问题,Angular 默认把所有值都当做不可信任的。 当值从模板中以属性(Property)、DOM 元素属性(Attribte)、CSS 类绑定或插值等途径插入到 DOM 中的时候, Angular 将对这些值进行无害化处理(Sanitize),对不可信的值进行编码。

Angular 的模板同样是可执行的:模板中的 HTML、Attribute 和绑定表达式(还没有绑定到值的时候)会被当做可信任的。 这意味着应用必须防止把可能被攻击者控制的值直接编入模板的源码中。永远不要根据用户的输入和原始模板动态生成模板源码! 使用离线模板编译器是防范这类“模板注入”漏洞的有效途径。

无害化处理与安全环境

无害化处理会审查不可信的值,并将它们转换成可以安全插入到 DOM 的形式。多数情况下,这些值并不会在处理过程中发生任何变化。 无害化处理的方式取决于所在的环境:一个在 CSS 里面无害的值,可能在 URL 里很危险。

Angular 定义了四个安全环境 - HTML,样式,URL,和资源 URL:

  • HTML:值需要被解释为 HTML 时使用,比如当绑定到 innerHTML 时。

  • 样式:值需要作为 CSS 绑定到 style 属性时使用。

  • URL:值需要被用作 URL 属性时使用,比如 <a href>

  • 资源 URL 的值需要作为代码进行加载并执行,比如 <script src> 中的 URL

Angular 会对前三项中种不可信的值进行无害化处理,但不能对第四种资源 URL 进行无害化,因为它们可能包含任何代码。在开发模式下, 如果在进行无害化处理时需要被迫改变一个值,Angular 就会在控制台上输出一个警告。

无害化示例

下面的例子绑定了 htmlSnippet 的值,一次把它放进插值里,另一次把它绑定到元素的 innerHTML 属性上。

Path:"src/app/inner-html-binding.component.html" 。

<h3>Binding innerHTML</h3>
<p>Bound value:</p>
<p class="e2e-inner-html-interpolated">{{htmlSnippet}}</p>
<p>Result of binding to innerHTML:</p>
<p class="e2e-inner-html-bound" [innerHTML]="htmlSnippet"></p>

插值的内容总会被编码 - 其中的 HTML 不会被解释,所以浏览器会在元素的文本内容中显示尖括号。

如果希望这段 HTML 被正常解释,就必须绑定到一个 HTML 属性上,比如 innerHTML。但是如果把一个可能被攻击者控制的值绑定到 innerHTML 就会导致 XSS 漏洞。 比如,包含在 <script> 标签的代码就会被执行:

Path:"src/app/inner-html-binding.component.ts (class)" 。

export class InnerHtmlBindingComponent {
  // For example, a user/attacker-controlled value from a URL.
  htmlSnippet = 'Template <script>alert("0wned")</script> <b>Syntax</b>';
}

Angular 认为这些值是不安全的,并自动进行无害化处理。它会移除 <script> 标签,但保留安全的内容,比如该片段中的 <b> 元素。

避免直接使用 DOM API

浏览器内置的 DOM API 不会自动保护你免受安全漏洞的侵害。比如 document、通过 ElementRef 拿到的节点和很多第三方 API,都可能包含不安全的方法。如果你使用能操纵 DOM 的其它库,也同样无法借助像 Angular 插值那样的自动清理功能。 所以,要避免直接和 DOM 打交道,而是尽可能使用 Angular 模板。

浏览器内置的 DOM API 不会自动针对安全漏洞进行防护。比如,document(它可以通过 ElementRef 访问)以及其它第三方 API 都可能包含不安全的方法。 要避免直接与 DOM 交互,只要可能,就尽量使用 Angular 模板。

内容安全策略

内容安全策略(CSP) 是用来防范 XSS 的纵深防御技术。 要打开 CSP,请配置你的 Web 服务器,让它返回合适的 HTTP 头 Content_Security_Policy。 要了解关于内容安全策略的更多信息,请参阅 HTML5Rocks 上的内容安全策略简介。

使用离线模板编译器

离线模板编译器阻止了一整套被称为“模板注入”的漏洞,并能显著增强应用程序的性能。尽量在产品发布时使用离线模板编译器, 而不要动态生成模板(比如在代码中拼接字符串生成模板)。由于 Angular 会信任模板本身的代码,所以,动态生成的模板 —— 特别是包含用户数据的模板 —— 会绕过 Angular 自带的保护机制。 要了解如何用安全的方式动态创建表单,请参见 构建动态表单 一章。

服务器端 XSS 保护

服务器端构造的 HTML 很容易受到注入攻击。当需要在服务器端生成 HTML 时(比如 Angular 应用的初始页面), 务必使用一个能够自动进行无害化处理以防范 XSS 漏洞的后端模板语言。不要在服务器端使用模板语言生成 Angular 模板, 这样会带来很高的 “模板注入” 风险。

以上内容是否对您有帮助:
Angular9 安全
Angular9 信任安全值
在线笔记
App下载
App下载

扫描二维码

下载编程狮App

公众号
微信公众号

编程狮公众号