什麼是 JavaScript 注入攻擊？

每當接受使用者輸入的內容並重新顯示這些內容時，網站就很容易遭受 JavaScript 注入攻擊。假設已經建立了一個客戶反饋網站。客戶可以訪問網站並輸入對產品的反饋資訊。當客戶提交反饋時，反饋資訊重新顯示在反饋頁面上。客戶反饋網站是一個簡單的網站。不幸的是，此網站容易遭受 JavaScript 注入攻擊。

假設使用者正在將以下文字輸入到客戶反饋表單中：

<script>alert(“Boo!”)</script>

那這段文字在顯示的時候會在頁面上彈出一個訊息框，以後任何人在訪問這個網站的時候，在顯示使用者的反饋資訊時都會彈出這個對話方塊。

可能你對上面的JavaScript注入感覺沒什麼大不了的，好像它只能對我們的介面顯示產生影響，它並不會給我們的網站的安全性還來真正可怕的影響。不幸的是，一個黑客足可以使用JavaScript攻擊來給你的網站帶來可怕的事情。它可以使用JavaScript注入執行Cross-Site Scripting攻擊。Cross-Site Scripting攻擊就是盜竊用來的機密資訊併發送到別的網站上去。比如：黑客可以使用JavaScript注入攻擊從客戶機的Cookie中盜取敏感資訊（密碼、信用卡號、社保賬號等），或者把其它使用者表單中輸入的機密資料傳送到其它網站上去。

解決方法一：檢視中的 HTML 編碼

防止JavaScript注入攻擊的一個簡單方法就是當顯示使用者輸入的資料時，使用Html.Encode()方法把資料庫中的資料編碼顯示。

如：<%=Html.Encode(feedback.Message)%>

使用 Html.Encode()方法編碼字串時，它會把一些危險字元給轉義掉。所以，當使用Html.Encode()方法編碼字串 時，它將轉換為 ：

<script>alert(“Boo!”)</script>

瀏覽器在解析編碼的字串時不再執行 JavaScript 指令碼。而是顯示無害的頁面。

解決方法二：寫入資料庫之前的 HTML 編碼

除了在檢視中顯示資料時使用 HTML 編碼資料，還可以在將資料提交到資料庫之前使用 HTML 編碼資料。第二種方法正是程式清單中 controller 的情況。

如以下程式碼:

public ActionResult Create(string message)
{
// Add feedback
var newFeedback = new Feedback();
newFeedback.Message = Server.HtmlEncode(message);
newFeedback.EntryDate = DateTime.Now;
db.Feedbacks.InsertOnSubmit(newFeedback);
db.SubmitChanges(); 
 

// Redirect
return RedirectToAction(“Index”);
}

請注意，Message 的值在提交到資料庫之前是在 Create() 操作中經過 HTML 編碼的。當在檢視中重新顯示 Message 時，Message 被 HTML 編碼，因而不會執行任何注入到 Message 中的 JavaScript。

總結

通常，人們喜歡使用本教程中討論的第一種方法，而不喜歡使用第二種方法。第二種方法的問題在於在資料庫中最終會保留 HTML 編碼的資料。換言之，資料庫中的資料會包含奇怪的字元。這有什麼壞處呢？如果需要用除網頁以外的形式顯示資料庫資料，則將遇到問題。例如，不能輕易在 Windows Forms 應用程式中顯示資料。