浏览器的安全机制\ XSS

最新推荐文章于 2024-07-06 21:00:00 发布
最新推荐文章于 2024-07-06 21:00:00 发布
阅读量751 收藏
点赞数 1
文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chenamao/article/details/107753362
版权
本文深入探讨了浏览器的安全机制,重点介绍了同源策略(SOP)和XSS攻击。同源策略限制了不同源之间的交互,防止恶意脚本攻击。文章详细阐述了SOP在img标签、iframe和AJAX中的应用,并讲解了CORS和CSP策略。XSS攻击是通过注入恶意脚本来攻击用户,文中分析了其危害、分类和防御措施,强调了XSS漏洞验证和防御的重要性。
摘要由CSDN通过智能技术生成

浏览器的安全机制\ XSS

目录

浏览器的安全机制\ XSS

同源策略 SOP(sam Origin Policy)

img 标签:

iframe框架

AJAX:

同源策略条件

跨资源共享:

HTTP头部声明

CSP(content security policy)

XSS 跨站脚本攻击 (Cross Site Scripting)。

XSS漏洞的危害

Xss 漏洞的验证

XXS漏洞的分类

XXS的构造

固定会话攻击与防御

*利用XSS漏洞如何获取数据?

XSS的变形:

XSS的防御

同源策略 SOP(sam Origin Policy)

同源策略就是浏览器对 JavaScript 进行跨域访问的安全策略,同时也是浏览器沙盒环境提供的一项制约。

浏览器可以同时处理多个网站内容,典型方法:

☺ <img src = ‘ ’>

☺  iframe 框架

☺  AJAX

 

img 标签:

定义和用法:

 img 元素向网页中嵌入一幅图像。 请注意,从技术上讲,<img> 标签并不会在网页中插入图像,而是从网页上链接图像。<img> 标签创建的是被引用图像的占位空间。 <img> 标签有两个必需的属性:src 属性 和 alt 属性。

img> 标签的 src 属性是必需的。它的值是图像文件的 URL,也就是引用该图像的文件的的绝对路径或相对路径。

alt 属性是一个必需的属性,它规定在图像无法显示时的替代文本。

假设由于下列原因用户无法查看图像,alt 属性可以为图像提供替代的信息:

(网速太慢src 属性中的错误浏览器禁用图像用户使用的是屏幕阅读器)

<img> 标签的 alt 属性指定了替代文本,用于在图像无法显示或者用户禁用图像显示时,代替图像显示在浏览器中的内容。

iframe框架

用于在网页内显示网页。

添加 iframe 的语法

<iframe src="URL"></iframe>

注:URL 指向隔离页面的位置。

 

AJAX:

AJAX = 异步 JavaScript 和 XML。

JAX 是一种用于创建快速动态网页的技术。

通过在后台与服务器进行少量数据交换,AJAX 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。

传统的网页(不使用 AJAX)如果需要更新内容,必需重载整个网页面。

有很多使用 AJAX 的应用程序案例:新浪微博、Google 地图、开心网等等。

同源策略条件

如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。

  1. URL的主机(FQDN:Fully Qualified Domain Name,全称域名)一致
  2. Schema 一致
  3. 端口号一致

 

跨资源共享:

解决JS跨域访问的问题

跨域资源共享,CORS (cross-orgin sharing standard)

 

 

HTTP头部声明

CORS 标准新增了一组HTTP头部字段,允许服务器声明哪些源站通过浏览器访问哪些资源。

CSP(content security policy)

内容安全策略

内容安全策略   (CSP) 是一个额外的安全层,用于检测并削弱某些特定类型的攻击,包括跨站脚本 (XSS) 和数据注入攻击等。无论是数据盗取、网站内容污

最低0.47元/天 解锁文章
Chenamao
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【网络安全 | 浏览器安全机制】内容安全策略(CSP)及沙箱环境
等风来
08-25 7295
以上为浏览器安全机制之内容安全策略(CSP)及沙箱环境详析,内容安全策略(CSP)和沙箱环境在Web应用程序和浏览器内提供了额外的安全层,有助于防止恶意攻击和数据泄露,读者可深入学习。我是秋说,我们下次见。
chromium浏览器安全机制
04-17
描述了chromium开源浏览器中的安全机制,沙箱保护,多进程机制
浏览器安全机制
weixin_34067049的博客
09-12 712
前言 此文章是我最近在看的【WebKit 技术内幕】一书的一些理解和做的笔记。 而【WebKit 技术内幕】是基于 WebKit 的 Chromium 项目的讲解。 书接上文 浏览器之 javaScript 引擎 本章主要讲解 浏览器安全机制的网页的安全浏览器安全。 1. 网页安全模型 1.1 安全模型基础 当用户访问网页的时候,浏...
前端安全XSS攻击与防御策略
最新发布
ZL_1618的博客
07-06 901
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
浏览器安全机制-同源策略
weixin_44870846的博客
07-30 405
目录 同源策略 概述 同源策略的条件 跨域资源共享(CORS) HTTP头部声明 内容安全策略(CSP) 同源策略 概述 同源策略,SOP(Same Orgin Policy) 同源策略是浏览器对JavaScript进行跨域访问的安全策略,同时也是浏览器沙盒环境提供的一项制约。 概念补充: Ajax:Asynchronous JavaScript and XML ,是一种创建交互式、快速动态网页的网页开发技术,无需重新加载整个页面,只需要更新网页的部分。 什么是跨域? 跨域就.
浏览器原理 之 浏览器安全
每天积累一点点
04-20 1206
XSS 攻击,即跨站脚本攻击(Cross-Site Scripting),是一种常见的网络安全漏洞,它允许攻击者将恶意脚本注入到其他用户浏览的正常网页中。这些恶意脚本通常以 JavaScript 形式出现,并在用户的浏览器中执行。执行的结果可以是窃取用户的cookies、话令牌,或者对用户的账户进行其他恶意操作。存储型 XSS:恶意脚本被永久存储在目标服务器上,例如数据库、消息论坛、访客留言等,当其他用户请求数据时脚本被发送到用户的浏览器执行。反射型 XSS
WEB安全浏览器安全机制
weixin_34080903的博客
07-06 561
WEB 安全是互联网时代重点关注的问题,也是产品设计中必须考虑的一部分。作为一个开发人员,有义务和责任打造安全可靠的 WEB 应用供用户使用,保证用户数据的机密性,完整性以及服务的可用性。 浏览器的同源策略 浏览器以协议头、域名、端口的组合标识一个页面的源。两个页面访问的协议头、域名及端口都相同,称两个页面具有相同的源。下表列出与http...
Web应用安全XSS安全隐患产生原因.pptx
06-18
2. 浏览器的信任机制浏览器默认信任来自同一源的所有脚本,当恶意脚本与正常脚本混合时,浏览器无法区分,导致恶意脚本执行。 3. 输出安全问题:被注入的恶意脚本可能被直接输出到用户的浏览器,一旦浏览器执行了...
Web安全XSS攻击与防御小结
10-17
为了增强防御,还可以设置HTTP响应头`X-XSS-Protection`,启用浏览器内置的XSS过滤机制。然而,仅靠这个机制是不够的,开发者应当结合多种防御手段,确保用户数据的安全。 总的来说,理解XSS攻击的原理、类型和防范...
XSS测试之编码绕过与浏览器解码机制
u014171100的博客
03-15 6326
嘿嘿,我就是不写摘要,就是玩儿~
Java 中 过滤Html标签
12-13
Java 中 过滤Html标签
关于Chrome的安全机制
深度技术安全
05-20 2753
<br />Chrome采用的是多进程结构,进程类型主要有以下几种:<br />1)主进程:负责所有资源管理、系统交互,前者包括bookmark、cookie、history管理等;后者包括屏幕绘制、处理keyboard/mouse输入、internet连接等。不在Chrome的sandbox中运行。<br />2)web渲染进程:负责html解析、javascript执行、image decoding、页面布局等所有和网页相关的任务。所有的此类进程都强制在sandbox中运行。和用户、系统的联系不直接进行
浏览器中的安全策略——系统安全、网络安全、页面安全
wuli1024的博客
12-13 369
浏览器中的安全,可以按照系统安全、网络安全、页面安全三个方面来了解。
web安全机制问题详解之一:XSS
weixin_34092455的博客
03-18 189
web安全前端开发者们需要关注和掌握的必要内容。在写该记录之前,我也总是对安全策略这方面点到为止;但是在真正了解之后才发现,页面能安全活到现在也算是老天和后台、运维同事的关照了。
038 网络安全JS篇
鸡蛋炒鸡蛋
02-14 1354
文章目录一:笔记二:源码与实验2.1:目录结构2.2: 源码与内容展示 一:笔记 JS JavaScript: 能够在静态的html页面实现动态效果, 解释型语言, 每次刷新网页都执行JS代码 从上到下依次执行 当我们直接访问JS脚本的时候,返回纯文本内容 运行环境是浏览器,出现的一切安全问题,都归于“前端安全” 快速入门 JS与HTML 混编 可以出现在任何位置 简单的语句: 输出语句 alert(); # 弹窗 console.log(); # 在
DomXSS以及绕过浏览器检测机制方法总结
安全汪
06-27 8940
今天继续研究了一下PKAV“心伤的瘦子”的XSS系列教程,收获挺大的,这里主要记录下来,以备忘记! 下面是这个系列教程的截图,可以在这里看到,当让,每一个知识知识点,都可以在这里(传送门)得到复现。作为程序员,让你意思到自己以前的编码方式中有诸多的不足,作为安全研究者,深深地感觉到,原来还可以这么玩….昨天的知识点忘记整理了,先吧今天的写上,以后再补: **DOM_XSS之iframe标签的变
安全测试(xss \ csrf 攻击
06-16 394
web安全xss攻击 xss攻击的全称是Cross-Site Scripting (XSS)攻击,是一种注入式攻击。基本的做法是把恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的,所以浏览器无差别执行恶意脚本,从而导致用户信息和一些敏感信息被盗取和泄漏。(主要 获取cookie信息) xss一般分为两种类型,持久化的xss和非持久化的xss 持久化...
xss攻击详解
剁椒鱼头没剁椒的博客
11-15 8667
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、话和cookie等各种内容。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值