《网络空间安全技术》课件 第2章 Web技术.pptxVIP

第2章：Web技术

要点HTML技术JavaScript技术CSS技术JQuery技术HTML5技术AngularJS技术Bootstrap技术相关安全漏洞披露

1HTML技术HTML的英文全称是HypertextMarkedLanguage，即超文本标记语言。它是由Web的发明者TimBerners-Lee和同事DanielW.Connolly于1990年创立的一种标记语言。用HTML编写的超文本文档称为HTML文档，它能独立于各种操作系统平台(如UNIX、Windows、Mac等)。使用HTML语言，将所需要表达的信息按某种规则写成HTML文件，由浏览器来识别，并将这些HTML文件“翻译”成可以识别的信息，即现在所见到的网页。HTML是通向Web技术世界的钥匙。

1.1HTML基础HTML是目前网络上应用最为广泛的语言，也是构成网页文档的主要语言。HTML文本是由HTML命令组成的描述性文本，HTML命令可以说明文字、图形、动画、声音、表格、链接等。HTML的结构包括头部（Head）、主体（Body）两大部分，其中头部描述浏览器所需的信息，而主体则包含所要说明的具体内容。

1.2HTML安全攻击利用HTML语言进行的攻击，实际上是一个网站允许恶意用户，通过不正确处理用户表单输入数据而将HTML注入其网页的攻击。换句话说，HTML注入漏洞是由接收HTML引起的，通常是通过某种表单输入，然后在网页上呈现为输入的。由于HTML是用于定义网页结构的语言，如果攻击者可以注入HTML，它们实质上可以改变浏览器呈现的内容和网页的外观。利用HTML的语言特点，在网站文本框中，输入类似于trtdinput/td/trtable这样的内容，就会影响表格的显示结构。将这些数据显示到页面的时候，就会产生HTML攻击。实例1：网页中用户可以填写内容的地方，如果填写成“table”，则可能导致网页源代码全部展示出来，或者整个网页结构错乱。实例2：网页中用户可以填写内容的地方，如果填写成“iframesrc=XXX.com”，则可能导致该网页成为钓鱼网页。实例3：网页中用户可以填写内容的地方，如果填写成“scriptalert(111)/script”，则可能导致XSS攻击。

1.3HTML安全防护对HTML语言攻击的防护，主要采用2种方式：1.净化输入。就是对每个输入框可以接受什么要有严格的定义，包括数据类型，长度等。如果用户输入的内容不符合要求，就拒绝向后台提交。当然这种净化输入不能全指望前端的JavaScript，因为攻击者可以通过工具绕行JavaScript控制，所以除了前端检查，在后台真正提交数据库前还要做服务器端的输入合法性校验，只有通过合法校验，才能真正执行。2.格式化输出。就是对于要展示的用户数据需要经过适当的编码才能输出，避免出现脚本执行或破坏HTML文档结构。

2JavaScript技术JavaScript是由NETSCAPE公司所开发的一种脚本语言，是目前因特网上最流行的脚本语言，并且可在所有主要的浏览器中运行，其目的是扩展基本的HTML功能，处理Web网页表单信息，为Web网页增加动态效果。

2.1JavaScript基础JavaScript的最大特点是和HTML的结合，在客户端的应用中很难将JavaScript程序和HTML文档分开。JavaScript代码总是和HTML一起使用的，它的各种对象都有各自的HTML标记，当HTML文档在浏览器中被打开时，JavaScript代码才被执行。JavaScript代码使用HTML标记script/script嵌入到HTML文档中。它扩展了标准的HTML，为HTML标记增加了事件，通过事件驱动来执行JavaScript代码。

2.2JavaScript安全攻击XSS（CrossSiteScripting）跨站脚本攻击基于DOM（DocumentObjectModel）的XSS反射式XSS（非持久性XSS）存储式XSS（持久性XSS）B.跨站请求伪造（CSRF：CrossSiteRequestForgery）攻击者可以伪造某个请求的所有参数，在B站发起一个属于A站的请求，这就是跨站请求。C.点击劫持（ClickJacking）恶意攻击者用一个透明的iframe覆盖在网页上，欺骗客户在这个iframe上操作。

2.3JavaScript安全防护XSS（CrossSiteScripting）跨站脚本防护不要信任任何用户输入，对输入的具体特殊字符，长度，类型等的数据进行过滤处理，使用输入白名单控制。对输出的数据使用HTML编码对一些字符做转义处理，所有HTML和XML中输出的数据，都需要做HTML转义处理(htmlescape)。为Cookie设