ajax请求存在不安全的问题有哪些?如何解决这些不安全的很问题

最新推荐文章于 2024-06-04 16:52:41 发布
最新推荐文章于 2024-06-04 16:52:41 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: JavaScript 文章标签: JavaScript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LuckXinXin/article/details/105566260
版权

主要有以下的三个:
a) XSS(跨站点脚本攻击)(cross-site scripting)

-> 伪造会话(基于XSS实现CSRF) -> 劫持cookie

-> 恶意代码执行

b) CSRF(跨站请求伪造)(cross-site request forgery)

-> 伪造用户身份操作

c) sql注入

其原理主要是:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令的目的

d)界面操作劫持

防范sql注入的措施

1)永远不要信任用户的输入,要对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等

2)永远不要使用动态拼装SQL,可以使用参数化的SQL进行数据查询存取

3)永远不要使用管理员权限的数据库连接,为每个应用使用单独的权限的数据库连接

4)不要把机密信息明文存放,请加密或者hash掉密码和敏感的信息。

浏览器的Cookie策略:

Cookie 是服务器发送到用户浏览器,并保存在本地的一小块数据,它会在浏览器下次向同一服务器再发起请求时,被携带在请求头中并发送到服务器

跨站请求伪造(CSRF)的定义

跨站请求伪造(请求是来源于其他网站的—跨站请求,这个请求并不是来自于用户的意愿----伪造的请求),简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的

定义:
是一种劫持受信任用户,向服务器发送非预期请求的攻击方式。

通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作

跨站请求伪造(CSRF)和跨站脚本攻击(XSS)的区别

XSS是获取信息,不需要提前知道其他用户页面的代码和数据包。CSRF是代替用户完成指定的动作,需要知道其他用户页面的代码和数据包.

跨站请求伪造(CSRF)的特点

a) 采用cookie来进行用户校验

b) 登录受信任网站A,并在本地生成Cookie

c) 在不登出A的情况下,访问危险网站B

CSRF的类型

1)请求类型区分:get和post型CSRF攻击

2)按照攻击方式分类:HTML CSRF攻击;JSON HiJacking攻击;Flash CSRF攻击等

HTML CSRF攻击:发起的CSRF请求都属于HTML元素,比如

GET型的CSRF:
通过html标签
<link href=''>
<a href=''>
最低0.47元/天 解锁文章
LuckXinXin
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Ajax与跨站点请求伪造漏洞
03-22
Ajax与跨站点请求伪造漏洞,近日,我们的网站请微软的工程师作了一次漏洞扫描,扫描结果中有两个“跨站点请求伪造漏洞”。通过查资料,我做了一番研究,包括此漏洞的入侵条件,被攻击后的损失以及防范措施等。
解决spring boot请求包含非法字符问题 The valid characters are defined in RFC 7230 and RFC 3986 错误
Ovo_ing的博客
04-14 1560
解决spring boot请求 java.lang.IllegalArgumentException: Invalid character found in the request target. The valid characters are defined in RFC 7230 and RFC 3986 错误 问题出在 高版本的tomcat会对请求头进行过滤 我的项目使用的springbo...
此表单不安全,因此系统已关闭自动填充功能
最新发布
m0_37549390的博客
06-04 438
ngxin+tomcat,此表单不安全因此系统已关闭自动填充功能
关于:请求中含有特殊字符,被禁止(已解决,可供参考)
光头迪迦
08-21 9157
页面直接报错: 请求中含有特殊字符,被禁止 以下总结下我遇到的问题:(供参考,以后遇到这种问题可以回来看看,开始我都一脸懵逼) 1、我的错误说明:点击保存数据直接页面报错了,显示请求中含有特殊字符,我特么....... 2、浏览器使用F12开发工具查看页面错误信息: 点击错误位置方法,先清空控制台错误信息,,重新点击保存方法,页面请求save方法时报错 302,被系统拦截了此请求,重定向到指定错误页面了 3、解决办法:(原因: 在我的请求中的确是存在非法字符...
URL中的保留和不安全字符
热门推荐
Mr_Pang的专栏
07-25 1万+
书写URL时要使用US-ASCII字符集可以显示的字符。 http://www.google.com 如果需要在URL中使用不属于此字符集的字符,就要使用特殊的符号对该字符进行编码。 如:最常使用的空格用%20来表示,例如:http://www.google.com/new%20123.html 除了那些无法显示的字符外,还需要在URL中对那些保留(reserved)字符和
不合法的请求字符,不能包含\uxxxx格式的字符
weixin_33928137的博客
04-14 466
 不合法的请求字符,不能包含\uxxxx格式的字符 ,不支持数组转json_encode()格式, 需要直接将数组,拼合成 json格式   ** * 微信api不支持中文转义的json结构 * @param array $arr */ static function json_encode($arr) { $parts = array ()...
详解Spring Boot 2.0.2+Ajax解决跨域请求问题
08-26
"详解Spring Boot 2.0.2+Ajax解决跨域请求问题" 知识点1:什么是跨域请求? 跨域请求是指浏览器从一个域名下的网页去请求另一个域名下的资源时,会出现的安全限制问题。该限制是因为浏览器的同源策略(Same-...
解决ajax不能访问本地文件问题(利用js跨域原理)
10-20
在Web开发中,AJAX(Asynchronous JavaScript and XML)是一种创建动态网页的技术,它允许页面在不重新加载整个页面的情况下与服务器交换数据并更新部分网页内容。然而,由于浏览器的安全策略,AJAX默认无法直接访问...
Ajax请求跨域问题解决方案分析
12-11
本文实例讲述了Ajax请求跨域问题解决方案。分享给大家供大家参考,具体如下: 几乎每种浏览器都存在默认的安全机制,都有同源策略,因为浏览器恶意的把每个外部请求的都当做是黑客攻击,相当于是对自身的保护,所以...
Ajax请求时无法重定向的问题解决代码详解
12-09
总结来说,解决Ajax请求时无法重定向的问题,需要前端与后端的配合。后端负责检测请求类型并提供必要的重定向信息,而前端则需要监听这些信息并在适当的时候执行重定向操作。在实际项目中,可以结合具体需求和框架...
关于Ajax请求中传输中文乱码问题解决方案
12-09
本文将深入探讨Ajax请求中传输中文字符时遇到的乱码问题及其解决方案。 首先,让我们看看问题的背景。在JavaScript中,我们经常使用jQuery的`$.ajax()`函数发送异步请求,更新服务器上的数据。在示例代码中,有一个...
ajax漏洞 console_在实战中可能碰到的几种ajax请求方法详解
weixin_39715997的博客
12-23 519
前言最近在做一个针对单个节点测速的功能页面,测速的逻辑是,测上传速度时,前端传5m数据给server,记录上传和返回数据的时间,测下载速度时,从server下载1m的数据,记录下载和下载成功的时间,上传和下载用的是ajax同步以避免客户端带宽阻塞的问题,并进行3次取平均值。在开发过程过,因为ajax同步异步的问题,走了不少弯路,特地也把之前遇到的业务逻辑整理汇总一下。ajax请求方法如下一、普通的...
字符串的安全问题
关于程序员的那些事儿
11-04 664
字符串函数的安全:数组越界,缓冲区溢出。 比如说:定义长度为10 一个数组,arr[10],设拷贝一个数组arr[10]=“abcdefghijk”, 但数组的长度为10,存在越界问题。所以为了解决这个问题,定义一个数组长度size. 拷贝数组arr[10]=“abcdefghijk”,定义一个size后拷贝结果是"abcdefghi " void Mystrcpy_s(char *des,con...
Ajax Security (1)
成富的专栏
06-04 198
下面的内容参考自:http://www.whirlycott.com/phil/2005/04/15/security-in-an-ajax-world/ 文章中大概提到了采用Ajax的RIA在安全方面会遇到的问题,主要是如何限制用户访问受保护的数据。 文章中提到了3种方法,都是针对返回数据是XML格式的: 首先就是返回的XML数据的Tag是由服务器随机生成的,并在HTML中内嵌用来查询的XPa...
解决ajax劫持,Ajax 实现网站劫持的检测方法
weixin_39673293的博客
08-05 124
https可以彻底解决劫持的问题。但是一般虚拟主机都不支持 https,难道http只能任流氓们恶意劫持么?既然只有第一次访问时才会出现抽奖链接,通过JS在浏览器中检测,如果发现 被植入的 代码,则自动刷新网页,就可以解决被劫持的问题了。现在要做的就是得到 被植入的代码。找了一圈,没有找到检查的工具。网站传输到客户的浏览器,需要三个步骤:【1】服务器 -> 【2】运行商 -> 【3】客...
jQuery.ajax()异步方法的漏洞
weixin_34238633的博客
12-22 392
2019独角兽企业重金招聘Python工程师标准>>> ...
检测到目标存在安全请求方法
u012465383的博客
01-12 3575
漏洞描述          Web 服务器在没有任何设置是,使用 OPTIONS 命令,可以返回所有能够响应的 HTTP 方法,如 OPTIONS, TRACE, GET, HEAD, COPY, PROPFIND, SEARCH, LOCK, UNLOCK 。这些方法可能表示在服务器上启用了webdav,可能允许未授权的用户对其进行利用。          的子元素是可选的,如果没有 元
解决ajax劫持,加强JavaScript劫持:使用Jquery Ajax的易受攻击的框架aspx
weixin_31156945的博客
08-05 815
我正在开发一个遗留系统,我们刚刚用HP Fortify扫描了它,得到了JavaScript劫持:易受攻击的框架,代码如下。function getMissionOverwriteDocsDataCountComponent(siteNo, fcg, catCode, facNo, assetUid, compNo) {// Make the Ajax call$.ajax({url: 'Missi...
Web2.0十大Ajax安全漏洞以及成因思考
lbq1221119
07-30 1926
        JavaScript包含的Ajax是Web2.0应用的一个重要组成部分。该部分的进化发展使网络变成了超级平台。该转变同时也催生了新品种的病毒和蠕虫,比如Yamanner,Samy 以及Spaceflash等等.Google,Netflix,Yahoo 以及MySpace等门户网站在过去的几个月里都因为新的漏洞而蒙受一定损失。黑客们可以利用这些漏洞进行钓鱼,跨站点脚本(XSS)以及跨
请求接口ajax跨域问题
07-08
在前端开发中,由于浏览器的安全策略,存在跨域问题。当你在一个域名下的页面发起AJAX请求访问另一个域名下的接口时,浏览器会拦截该请求。为了解决这个问题,可以采用以下方法之一: 1. JSONP:JSONP是一种跨域...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值