一、前言

09 年写过一篇文章：json xss 防范（http://www.2cto.com/Article/200904/37645.html）。

文章描述了控制Content-type类型，用于json 回调callback 函数接口(如：http://y.baidu.com/vote/data/detail_vote/290b873e69f2ec33a1e0c9f2?alt=html&callback=window.alert%28document.cookie%29&t=1294931209000 )

XSS攻击的防范：

 

 <?PHP

  header("Content-type: application/json");

  $woyigui = $_GET["xss"];

  echo $woyigui;

?>

 

因为之前公司全使用的是PHP代码，所以针对PHP代码此方案是相当有效的。时过变迁，换了公司后开始接触java\MVC等等框架，发现之前XSS解决方案针对现有的场景已经失效。

二、漏洞描述

最近测试发现，当文件后缀为.htm\.html 后缀的情况下设置application/json 等头部时，在IE 浏览器下将不起作用，脚本依旧会执行。比如：

 

xss.html?callback=<script>alert(1)</script>

返回头部:

 

HTTP/1.1 200 OK

Date: Mon, 11 Jul 2011 06:17:05 GMT

Server: Apache

Content-Type: application/json;charset=GBK

此时，在firefox 等浏览器里面执行会提示下载，脚本执行不成功，而当在IE 里面去访问这个文件的时候，脚本就会执行的。

比如utf-7 xss 的问题：

 

xss.htm?callback=%2B%2Fv9%20%2BADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8AC8AaAB0AG0APg-

如果采用控制文件内容方案设置application/json 头部去防范XSS，脚本也会执行的。

测试发现：

1、.html : 可被绕过

2、.htm：可被绕过

3、.txt：可被绕过

4、.php：可以防范

5、.do：可以防范

6、other：未测试

测试环境：

1、windows xp + ie6 + ie8

2、windows 7 + ie8 + ie9

 

三、原因

当请求的http url 文件名扩展为：.htm .html 时，IE 首先会优先根据文件扩展名来判断解析文件内容（而非优先选择application/json 头部做为首要依据），进而造成XSS 攻击成功，绕过防范方法；

联想：IE 图片XSS解析漏洞、utf-7 xss 等等以内容解析而非以扩展名解析的攻击例子。

 

四、细节

1、application/javascript 等类型在IE下也是不起作用的。

2、设置头部：Cache-Control: max-age=0,no-cache 后，在IE访问漏洞URL时，需要请求两次。

 

五、解决方案

解决方案众多，在生成的扩展为.html 等框架中，不要使用控制Content-Type 方案即可。

 

转载请注明：woyigui's blog