浏览器的安全机制\ XSS

最新推荐文章于 2024-04-20 16:11:19 发布
最新推荐文章于 2024-04-20 16:11:19 发布
阅读量724 收藏
点赞数 1
文章标签: 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Chenamao/article/details/107753362
版权

浏览器的安全机制\ XSS

目录

浏览器的安全机制\ XSS

同源策略 SOP(sam Origin Policy)

img 标签:

iframe框架

AJAX:

同源策略条件

跨资源共享:

HTTP头部声明

CSP(content security policy)

XSS 跨站脚本攻击 (Cross Site Scripting)。

XSS漏洞的危害

Xss 漏洞的验证

XXS漏洞的分类

XXS的构造

固定会话攻击与防御

*利用XSS漏洞如何获取数据?

XSS的变形:

XSS的防御

同源策略 SOP(sam Origin Policy)

同源策略就是浏览器对 JavaScript 进行跨域访问的安全策略,同时也是浏览器沙盒环境提供的一项制约。

浏览器可以同时处理多个网站内容,典型方法:

☺ <img src = ‘ ’>

☺  iframe 框架

☺  AJAX

 

img 标签:

定义和用法:

 img 元素向网页中嵌入一幅图像。 请注意,从技术上讲,<img> 标签并不会在网页中插入图像,而是从网页上链接图像。<img> 标签创建的是被引用图像的占位空间。 <img> 标签有两个必需的属性:src 属性 和 alt 属性。

img> 标签的 src 属性是必需的。它的值是图像文件的 URL,也就是引用该图像的文件的的绝对路径或相对路径。

alt 属性是一个必需的属性,它规定在图像无法显示时的替代文本。

假设由于下列原因用户无法查看图像,alt 属性可以为图像提供替代的信息:

(网速太慢src 属性中的错误浏览器禁用图像用户使用的是屏幕阅读器)

<img> 标签的 alt 属性指定了替代文本,用于在图像无法显示或者用户禁用图像显示时,代替图像显示在浏览器中的内容。

iframe框架

用于在网页内显示网页。

添加 iframe 的语法

<iframe src="URL"></iframe>

注:URL 指向隔离页面的位置。

 

AJAX:

AJAX = 异步 JavaScript 和 XML。

JAX 是一种用于创建快速动态网页的技术。

通过在后台与服务器进行少量数据交换,AJAX 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新。

传统的网页(不使用 AJAX)如果需要更新内容,必需重载整个网页面。

有很多使用 AJAX 的应用程序案例:新浪微博、Google 地图、开心网等等。

同源策略条件

如果两个页面的协议,端口(如果有指定)和域名都相同,则两个页面具有相同的源。

  1. URL的主机(FQDN:Fully Qualified Domain Name,全称域名)一致
  2. Schema 一致
  3. 端口号一致

 

跨资源共享:

解决JS跨域访问的问题

跨域资源共享,CORS (cross-orgin sharing standard)

 

 

HTTP头部声明

CORS 标准新增了一组HTTP头部字段,允许服务器声明哪些源站通过浏览器访问哪些资源。

最低0.47元/天 解锁文章
Chenamao
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
chromium浏览器安全机制
04-17
描述了chromium开源浏览器中的安全机制,沙箱保护,多进程机制
浏览器安全机制
weixin_34067049的博客
09-12 679
前言 此文章是我最近在看的【WebKit 技术内幕】一书的一些理解和做的笔记。 而【WebKit 技术内幕】是基于 WebKit 的 Chromium 项目的讲解。 书接上文 浏览器之 javaScript 引擎 本章主要讲解 浏览器安全机制的网页的安全浏览器安全。 1. 网页安全模型 1.1 安全模型基础 当用户访问网页的时候,浏...
浏览器原理 之 浏览器安全
最新发布
每天积累一点点
04-20 1028
XSS 攻击,即跨站脚本攻击(Cross-Site Scripting),是一种常见的网络安全漏洞,它允许攻击者将恶意脚本注入到其他用户浏览的正常网页中。这些恶意脚本通常以 JavaScript 形式出现,并在用户的浏览器中执行。执行的结果可以是窃取用户的cookies、会话令牌,或者对用户的账户进行其他恶意操作。存储型 XSS:恶意脚本被永久存储在目标服务器上,例如数据库、消息论坛、访客留言等,当其他用户请求数据时脚本被发送到用户的浏览器执行。反射型 XSS
浏览器安全机制-同源策略
weixin_44870846的博客
07-30 370
目录 同源策略 概述 同源策略的条件 跨域资源共享(CORS) HTTP头部声明 内容安全策略(CSP) 同源策略 概述 同源策略,SOP(Same Orgin Policy) 同源策略是浏览器对JavaScript进行跨域访问的安全策略,同时也是浏览器沙盒环境提供的一项制约。 概念补充: Ajax:Asynchronous JavaScript and XML ,是一种创建交互式、快速动态网页的网页开发技术,无需重新加载整个页面,只需要更新网页的部分。 什么是跨域? 跨域就.
WEB安全浏览器安全机制
weixin_34080903的博客
07-06 533
WEB 安全是互联网时代重点关注的问题,也是产品设计中必须考虑的一部分。作为一个开发人员,有义务和责任打造安全可靠的 WEB 应用供用户使用,保证用户数据的机密性,完整性以及服务的可用性。 浏览器的同源策略 浏览器以协议头、域名、端口的组合标识一个页面的源。两个页面访问的协议头、域名及端口都相同,称两个页面具有相同的源。下表列出与http...
关于Chrome的安全机制
深度技术安全
05-20 2714
<br />Chrome采用的是多进程结构,进程类型主要有以下几种:<br />1)主进程:负责所有资源管理、系统交互,前者包括bookmark、cookie、history管理等;后者包括屏幕绘制、处理keyboard/mouse输入、internet连接等。不在Chrome的sandbox中运行。<br />2)web渲染进程:负责html解析、javascript执行、image decoding、页面布局等所有和网页相关的任务。所有的此类进程都强制在sandbox中运行。和用户、系统的联系不直接进行
93道网络安全面试题目
07-20
* 定义:跨站点脚本攻击,指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。 * 防范方法: + 前端和服务端同时需要字符串输入的长度限制 + 前端和服务端...
第十三节 利用CSS特性绕过XSS过滤-01
09-15
但是,攻击者可以利用CSS特性来绕过XSS过滤机制,在今天的课程中,我们将为大家介绍如何利用CSS特性绕过XSS过滤。 XSS漏洞发现 在寻找XSS漏洞时,攻击者需要构造特殊的无害字符串,然后在响应中寻找该字符串。这样...
360 几率大的网络安全面试题(含答案)
10-14
这些问题涵盖了网络安全的多个方面,包括协议、攻击防范、网络安全机制等。 1. 防范常见的 Web 攻击 防范常见的 Web 攻击是网络安全的重要方面。常见的 Web 攻击包括 SQL 注入攻击、XSS 攻击、CSRF 攻击等。 * ...
2023 网络安全面试题(93道).pdf
10-31
XSS攻击(跨站点脚本攻击)是一种攻击方式,攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作。防范XSS攻击的方法包括限制字符串输入的长度、对HTML进行转义处理、过滤输入的...
问的频率高的网络安全面试题(含答案)
10-14
* XSS攻击:攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作。防范方法包括限制字符串输入的长度、对HTML进行转义处理等。 * CSRF攻击:攻击者通过跨站请求,以合法的用户身份...
web安全机制问题详解之一:XSS
weixin_34092455的博客
03-18 185
web安全是前端开发者们需要关注和掌握的必要内容。在写该记录之前,我也总是对安全策略这方面点到为止;但是在真正了解之后才发现,页面能安全活到现在也算是老天和后台、运维同事的关照了。
038 网络安全JS篇
鸡蛋炒鸡蛋
02-14 1280
文章目录一:笔记二:源码与实验2.1:目录结构2.2: 源码与内容展示 一:笔记 JS JavaScript: 能够在静态的html页面实现动态效果, 解释型语言, 每次刷新网页都会执行JS代码 从上到下依次执行 当我们直接访问JS脚本的时候,返回纯文本内容 运行环境是浏览器,出现的一切安全问题,都归于“前端安全” 快速入门 JS与HTML 混编 可以出现在任何位置 简单的语句: 输出语句 alert(); # 弹窗 console.log(); # 在
DomXSS以及绕过浏览器检测机制方法总结
安全汪
06-27 8915
今天继续研究了一下PKAV“心伤的瘦子”的XSS系列教程,收获挺大的,这里主要记录下来,以备忘记! 下面是这个系列教程的截图,可以在这里看到,当让,每一个知识知识点,都可以在这里(传送门)得到复现。作为程序员,会让你意思到自己以前的编码方式中有诸多的不足,作为安全研究者,深深地感觉到,原来还可以这么玩….昨天的知识点忘记整理了,先吧今天的写上,以后再补: **DOM_XSS之iframe标签的变
安全测试(xss \ csrf 攻击)
06-16 388
web安全xss攻击 xss攻击的全称是Cross-Site Scripting (XSS)攻击,是一种注入式攻击。基本的做法是把恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的,所以浏览器会无差别执行恶意脚本,从而导致用户信息和一些敏感信息被盗取和泄漏。(主要 获取cookie信息) xss一般分为两种类型,持久化的xss和非持久化的xss 持久化...
【前端知识】浅谈XSS和CSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1506
【前端知识】浅谈XSS和CSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击和CSRF攻击。
XSS篇——XSS过滤绕过技巧
weixin_50464560的博客
05-07 3476
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 改变大小写 在测试过程中,我们可以改变测试语句的大小写来绕过XSS规则: 比如:<script>alert(“xss”);</script>可以...
你的网站安全吗?ZAP应用实例
科华在线
06-23 1053
按照清华大学出版社出版的新书《软件测试实战教程》第8章安全性测试,测试了一个Web应用,发现了5种问题。如图所示: 对每一种问题进行了分析,并提出了解决方案。解决问题后,再用ZAP扫描,已经没有这些问题了。 X-Frame-Options Header Not Set X-Frame-Options HTTP 响应头未设置 说明:HTTP响应中不包含X-Frame-Options头,以...
浏览器注册token机制
05-18
浏览器注册 token 机制通常是指在用户登录时,服务器返回一个唯一的 token 给客户端(浏览器),并将该 token 存储在客户端的本地存储(如 cookie 或 localStorage)中。之后,客户端每次向服务器发送请求时,都将该...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值