DAY10------CSRF和XSS是什么,如何避免?

最新推荐文章于 2024-07-24 10:40:52 发布
最新推荐文章于 2024-07-24 10:40:52 发布
阅读量143 收藏 3
点赞数 4
文章标签: csrf xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mi_Ni_BoX/article/details/139048748
版权

CSRF 攻击的原理如下:(诱导用户点击非法网页,该网页利用已登入的用户权限,向服务器发送恶意请求操作。)

  1. 用户登录到一个可信的网站 A,并保持登录状态。
  2. 攻击者诱导用户访问一个恶意网站 B。
  3. 恶意网站 B 包含一个向网站 A 发送请求的代码,这个请求会利用用户在网站 A 的登录状态执行未经授权的操作,如转账、修改密码等。
  4. 由于用户在网站 A 保持登录状态,网站 A 会认为这个请求是用户自己发送的,从而执行该请求。

解决方法

  1. 使用 CSRF 令牌: 在每个表单中添加一个随机生成的 CSRF 令牌,服务器端验证该令牌是否正确。
  2. 验证 Referer 头: 检查 HTTP 请求的 Referer 头,确保请求来自预期的域名。
  3. 使用双重提交 Cookie: 在 Cookie 中存储一个随机令牌,并在请求中验证该令牌是否与 Cookie 中的一致。
  4. 使用同源策略: 浏览器会阻止跨域的 AJAX 请求,这可以有效防止 CSRF 攻击。

 

XSS 攻击的原理如下:(通过设置自动运行的脚本代码来实现的)

  1. 攻击者在目标网站上注入恶意的 JavaScript 代码,这段代码可能会窃取用户的敏感信息,如 cookies、会话令牌等。
  2. 当用户访问包含恶意代码的页面时,该代码会在用户的浏览器中执行,从而造成安全隐患。

解决方法

  1. 输入验证和编码: 对用户输入的内容进行严格的验证和编码,确保不会注入恶意代码。
  2. 使用 Content Security Policy (CSP): 通过设置 CSP 头,可以限制页面加载的资源,从而防止 XSS 攻击。

Mi_Ni_BoX
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[红日安全]Web安全Day3 - CSRF实战攻防
hongrisec的博客
02-21 807
本文由红日安全成员: Once 编写,如有不当,还望斧正。 大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫Web安全实战,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python...
网安学习Day21-CSRF&SSRF
weixin_44770698的博客
05-22 242
CSRF CSRF概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 CSRF
day93-3 安全攻击---csrf
weixin_30258901的博客
08-18 63
安全攻击---csrf csrf:跨站请求伪造 通过伪装成受信任用户的请求来利用受信任的网站 三种常见的安全攻击 sql注入(防御方式:使用execute提交参数) xss跨站脚本攻击(防御方式:对客户端发来的数据进行转义) csrf跨站请求伪造(防御方式:提交数据时进行验证) csrf概念 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完...
django安全-xss和csrf
weixin_34297704的博客
07-09 75
XSS XSS跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 1 ##############xss...
day01-day04.zip
09-05
9. **安全实践**:包括密码哈希、CSRF(跨站请求伪造)和XSS(跨站脚本)防护、权限管理等,确保应用的安全性。 10. **部署与服务器管理**:如Docker容器化、Nginx反向代理、负载均衡和云服务的使用,如AWS、Azure...
Module4-day4-Ung-dung-login
03-27
这包括防止SQL注入(使用预编译语句或参数化查询)、XSS攻击(使用编码或过滤用户输入)以及CSRF攻击(通过令牌机制进行防御)。 4. **异常处理(Exception Handling)**:在处理用户输入和连接数据库时,可能会...
day-68-flask-auth
04-01
7. **错误处理与安全实践**:学习如何在 Flask 中处理 HTTP 错误,以及如何使用 Flask-Talisman 或 Flask-Security 提供的中间件来增强应用的安全性,如 XSS 防御、CSRF 防护等。 8. **数据库集成**:在实际项目中...
linux-day-2015:Linux Day 2015的网站
05-05
8. **安全性**:JavaScript还可以用于实施客户端的验证,如密码强度检查,防止XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。 9. **性能优化**:利用JavaScript进行懒加载,只在需要时加载图片或内容,减少初次加载...
web-day4.rar
03-30
- 安全性:XSS、CSRF攻击防御,HTTPS,以及JWT(JSON Web Tokens)的身份验证。 - 性能优化:页面加载速度提升、懒加载、CDN使用等。 - 版本控制:Git的分支策略和协同工作流程。 每个主题都可能包括理论讲解、实例...
pikachu 之CSRF(跨站请求伪造)get和post型
LIU6636LIU的博客
07-23 641
pikachu 之CSRF(跨站请求伪造)get和post型
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 518
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
【WAF剖析】10种XSS某狗waf绕过姿势,以及思路分析
xt350488的博客
07-22 1759
xss基础教程参考:https://mp.weixin.qq.com/s/RJcOZuscU07BEPgK89LSrQsql注入waf绕过文章参考: https://mp.weixin.qq.com/s/Dhtc-8I2lBp95cqSwr0YQw。
python爬虫基础——Webbot库介绍
qq_56262770的博客
07-22 981
Webbot是一个专为Python设计的库,用于简化网页自动化任务。它基于Selenium WebDriver,提供了一系列高级接口,使自动化任务更加直观和易于管理。Webbot库的设计理念是将复杂的网页交互抽象为简单的API调用,从而减少开发者在编写自动化脚本时的工作量。Webbot库的核心功能包括自动化表单填写、点击操作、数据抓取等,同时支持处理JavaScript渲染的页面和模拟用户行为。这些功能使得Webbot库成为自动化测试、数据收集和网页监控等领域的理想选择。
Vue使用FullCalendar实现日历/周历/月历
_小郑有点困了的博客
07-23 288
需求背景:项目上遇到新需求,要求实现工单以日/周/月历形式展示。而且要求不同工单根据状态显示不同颜色,一个工单内部,需要以不同颜色显示三个阶段。
TS如何处理js模块的类型?
最新发布
闻人放歌的三寸青草园圃
07-24 245
【代码】TS如何处理js模块的类型?
VUE 子组件可以直接改变父组件的数据吗
Cshaosun的博客
07-23 295
如果子组件需要修改父组件的数据,‌应该通过触发一个自定义事件来通知父组件进行数据的变更。‌父组件在接收到子组件触发的事件后,‌可以修改数据,‌从而间接地改变父组件的数据。‌这种方式通过明确的事件通信机制,‌保证了数据流的单向性和组件之间的解耦。需要注意的是,‌虽然Vue提供了一些特殊的方法来实现子组件修改父组件数据,‌但这种方式打破了数据流的单向性,‌增加了组件之间的耦合性,‌因此应谨慎使用。在Vue中,‌如果确实需要在子组件中修改父组件的数据,‌可以通过以下步骤实现:‌。
Odoo Registry 源码解读:前端世界的魔法师
清水欧度 Odoo ERP
07-23 988
它是连接不同模块的桥梁,是实现灵活扩展的关键,是每个Odoo开发魔法师最强大的盟友。下次当你在编写Odoo模块时,请记住,你手中握着的不仅仅是键盘,而是Registry赋予你的魔法杖。想象一下,它就是Odoo世界里的预言球,所有的秘密都逃不过它的法眼。Registry会用它的魔法排序棒,确保每个生物都按照正确的顺序出场,场面蔚为壮观。Registry会把常用的魔法结果记在它的魔法笔记本里,下次再用时就不用重新计算了,节省了大量的魔法能量。Registry设置了强大的防御魔法,确保没有人能破坏它的魔法秩序。
【CTFWP】ctfshow-web42
LongL_GuYu的博客
07-23 947
CTFWP,ctfshow-web42
Microsoft MCSD 070-480考试指南:HTML5、JavaScript与CSS3
8. **安全性与隐私保护**:讨论前端安全问题,如XSS攻击、CSRF防护和HTTPS的实施。 9. **项目实战与案例分析**:提供实际项目的开发场景,帮助考生将理论知识转化为实际解决问题的能力。 考生在备考过程中,除了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值