前端安全之XSS，CSRF，网络劫持，2024年最新并发编程挑战

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

用户开打该网站评论、内容的时候就会被攻击，

用户浏览器收到html代码后，混入其中的恶意代码就会被执行

比如获取用户的cookie信息，然后发送给攻击者的服务器。

在实际开发中，开发人员要增强安全意识，为用户的信息安全保驾护航。这其实就涉及XSS的防御，要对用户输入输出的特殊信息进行转换和过滤。

2、 反射型 Server

攻击者通过各种手段，诱导用户点击恶意URL，

通过URL传参数的过程，比如网站的搜索或者跳转

攻击者构造出特殊的 URL，其中包含恶意代码，这种攻击常见于通过 URL 传递参数的功能，将cookie传给攻击者的服务器，比如，在url参数上，http://localhost?name= 获取 get 方式传递的变量名为 name的变量值（值为一个字符串），然后显示在屏幕上，注意这中间并未对用户输入进行任何过滤。然后攻击者就可以通过输入 <script>alert('xss')</script> ：或者javascript:alert('xss');或<<img src=1 onerror=alter(1)>进行攻击，

由于需要用户主动打开恶意的 URL 才能生效，攻击者往往会结合多种手段诱导用户点击，比如抽奖红包、美女图片、娱乐八卦，有a标签如 ****其中xss为变量，是通过url获取的，这时候就需要对输入的

防御办法

• 开发人员需要对输入内容进行过滤和转译。对a连接跳转增加白名单 [‘http’,‘https’]判断

• 设置cookie为httponly，可以禁止cookie通过脚本获取。

• 加入meta标签，csp (Content Security Policy) 防止页面被XSS攻击时，嵌入第三方的脚本文件

3、 DOM 型 Browser

无论是持久型XSS还是反射型XSS, 恶意的js脚本内容都需要由服务端返回给用户，而Dom型XSS型却例外吗，这里是属于前端代码的漏洞，攻击者将带有恶意链接的代码发给用户进行点击，前端代码获取到链接上的参数执行，如

var hash = location.hash.slice(1);

document.write(hash);

//或者

function domxss(){

var str = window.location.search;

var txss = decodeURIComponent(str.split(“text=”)[1]);

var xss = txss.replace(/+/g,’ ');

document.getElementById(“dom”).innerHTML = “跳转”;

}

如何防范XSS攻击呢?

主旨：防⽌攻击者提交恶意代码，防⽌浏览器执⾏恶意代码

• 对数据进⾏严格的输出编码：如HTML元素的编码，JS编码，CSS编码，URL编码等等

避免拼接 HTML；Vue/React 技术栈，避免使⽤ v-html / dangerouslySetInnerHTML

• CSP HTTP Header(内容安全策略），即 Content-Security-Policy（不⽀持CSP的旧版浏览器可以设置X-XSSProtection,

增加攻击难度，配置CSP(本质是建⽴⽩名单，由浏览器进⾏拦截)

Dom型XSS的防御，还是依赖于参数校验、过滤、转义等方法，以及加CSP(内容安全策略），它可以禁⽌加载外域代码, 禁⽌外域提交等等

Content-Security-Policy: default-src ‘self’ -所有内容均来⾃站点的同⼀个源（不包括其⼦

域名）

Content-Security-Policy: default-src ‘self’ *.trusted.com -允许内容来⾃信任的域名及其

⼦域名 (域名不必须与CSP设置所在的域名相同)

Content-Security-Policy: default-src https://lubai.com -该服务器仅允许通过HTTPS⽅式

并仅从lubai.com域名来访问⽂档

禁⽌加载外域代码，防⽌复杂的攻击逻辑。

禁⽌外域提交，⽹站被攻击后，⽤户的数据不会泄露到外域

• 输⼊验证：⽐如⼀些常⻅的数字、URL、电话号码、邮箱地址等等做校验判断

• 开启浏览器XSS防御：Http Only cookie，禁⽌ JavaScript 读取某些敏感 Cookie，攻击者完成

XSS 注⼊后也⽆法窃取此 Cookie。

• 验证码

CSRF（跨站请求伪造）

---

本质：使用用户的Cookie

受害者登录A站点，并保留了登录凭证（Cookie）。

攻击者诱导受害者访问了站点B。

站点B向站点A发送了一个请求，浏览器会默认携带站点A的Cookie信息。

站点A接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是无辜的受害者发送的请求。

站点A以受害者的名义执行了站点B的请求。

攻击完成，攻击者在受害者不知情的情况下，冒充受害者完成了攻击。

POST类型的CSRF

通过表单提交，相当于模拟用户完成一次POST操作

点击抽奖按钮，触发了攻击者隐藏的转账操作，相当于无意中在自己的浏览器上执行了http请求

这就是所谓的CSRF跨站请求伪造:攻击者伪造了转账请求，用户在不知情的情况下，完成了转账操作。

给大家的福利

零基础入门

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

因篇幅有限，仅展示部分资料

网络安全面试题

绿盟护网行动

还有大家最喜欢的黑客技术

网络安全源码合集+工具包

所有资料共282G，朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》，可以扫描下方二维码领取（如遇扫码问题，可以在评论区留言领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

领取哦）~

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）
[外链图片转存中…(img-ZJhYd2e3-1713371879972)]

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！