记录一次XSS（跨站脚本攻击）

XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、
VBScript、ActiveX、 Flash
或者甚至是普通的HTML。攻击成功后，攻击者可能得到包括但不限于更高的权限（如执行一些操作）、私密网页内容、会话和cookie等各种内容。

问题

首先这个平台是一个物流园的门户网站，网站有一些相关的实时新闻和其他站点的友情链接。
这是当时他们网安部门的漏洞报告。

门户首页上就有新闻模块，新闻模块上上的文章内容来源一个门户运维管理平台，通过ueditor和md来编辑。他们的工作人员就从他们集团的copy一篇新闻过去，包含新闻中的所有内容。

解析

这个新闻的内容，好家伙直接出现两个外站链接，后面调查发现不是恶意网站，只是几张图片的链接，但是还是存在安全漏洞，除了自己网站，其他站点应该都是不可信的。新闻是不需要认证就是可以正常浏览。但是门户是可以登录再进行其他操作。如果这个站点是恶意链接，当我登陆完，cookie已经携带了用户认证凭证。再返回首页，打开新闻页图片链接开始请求外站。这是当前站点认证后的cookie就已经传输给了外站，这是外站就可以利用cookie来试下跨站攻击。

如何避免

像这种富文本之类的内容很容易就包含其他外站链接，关键运营人员并不会注意到这些。所以要再源头上解决问题。

在富文本编辑器上加上前端js限定，不许出现https或http的外站链接，如果出现，直接不允许提交。

后端也可以加上限定，当存在https和http之类的匹配字符，检测一下是否是本站链接，否则直接不做存储，抛出异常。