IE是怎么处理meta steam的编码的 && 那100+个xss-阿里云开发者社区

开发者社区> 开发与运维> 正文

IE是怎么处理meta steam的编码的 && 那100+个xss

简介: IE是怎么处理meta steam的编码的  && 那100+个xss 【起源】 最近hei***放言在各个大网站都存在100+个xss。

IE是怎么处理meta steam的编码的  && 那100+个xss


【起源】

最近hei***放言在各个大网站都存在100+个xss。这是的确存在的,问题出在IE处理meta steam的编码策略上。

 

【原理】

IE是怎么处理meta steam的呢?我举个demo来说明:

 

[a.php]

<script src="js.php"  charset="gbk"  type="text/javascript" ></script>

 

[js.php]

header:Content-Type: text/html; charset=big5

+/v8
alert("+ADs-");

 

解释步骤:

1. IE渲染a.php时,遇到载入 <script src="js.php" 的请求,此时IE为js.php定义的编码是default:unicode。

2. IE解释charset="gbk"属性时,js.php的编码从default:unicode转为gbk。

3. IE读取js.php,遇到http头“Content-Type: text/html; charset=big5”时,js.php的编码从gbk转为big5。

4. IE获得js.php输出的正文后,检查头几个字节是fffe还是+/v*——如果是fffe,编码转换为unicode;如果是+/v*,编码转化为utf-7。

5. 如果该steam是由 <link>标签载入的css文档,就检测@charset标记——如果有,则转化为@charset对应的编码。

(经测试,在IE8下使用http头指定charset后,第4步不会再转化编码。大家自己测试吧)

 

 

【导致的问题】

1.文本存储xss

http://hitn.bdimg.com/linx2008/css/item/8e4c24973277cc6d54fb9668.css

 

+/v8

body {

xxx: expressi+AG8AbgAoA-- (window.x==123456)?1:(x=123456) );

}

(打开hi.baidu.com/linx2008/home,然后输入javascript:alert(x);)在heig**blog上也有demo

 

2.json的"callback"参数(100+个xss的源头)

http://apps.hi.baidu.com/dashan/data/status?asyn=1&callback=【utf-7头】【utf-7数据流】......

 

【解决方案】

 

 方法1:对于json的场景,设置header:Content-Type: "json"

 

方法2:不要让正文输出的第一个符号是"+"。

eg:在数据输出的正文前加个空格or换回;或者过滤"+"开头的参数输出。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
开发与运维
使用钉钉扫一扫加入圈子
+ 订阅

集结各类场景实战经验,助你开发运维畅行无忧

其他文章