关于前端的安全之XSS和CSRF攻击

最新推荐文章于 2023-08-07 20:17:08 发布
最新推荐文章于 2023-08-07 20:17:08 发布
阅读量235 收藏
点赞数
分类专栏: js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mcylogo/article/details/103872521
版权

这里的很多是参考了一些博文而整理归纳的。
https://blog.csdn.net/liushijun_/article/details/91410976
https://segmentfault.com/a/1190000016551188

对于前端的页面有一定的独特性,比如我们经常有这种经历就是直接打开一个页面console面板直接在console里面就可以执行你的js代码就可以了。在这里就可以拿到写在cookie、sessionstorage 和localstorage里面的数据。就是碰到脚本就可以执行。所以如果是用户在提交的时候提交了一段脚本,而这段脚本没有经过过滤又刚好在前端执行了,这就形成了一个完成的xss攻击。

XSS(CRoss Site Scripting, 跨站脚本攻击)
字面意思是跨站脚本攻击。
首先可能出现这种问题的情况
1、url访问时提交的
2、页面表单提交数据

例如:http://xxx/search?keyword=">
form表单输入提交等时候
解决:讲表单提交的内容进行转义,使其成为一个不可执行脚本。

function htmlEscape(text){
  return text.replace(/[<>"&]/g, function(match, pos, originalText){
    switch(match){
    case "<": return "&lt;";
    case ">":return "&gt;";
    case "&":return "&amp;";
    case "\"":return "&quot;";
  }
  });
}

3、访问第三方script的时候
4、页面的内联方法 比如javascript:alert() 这类写法
5、cookie 这个可以通过设置http-only的方式
Set-Cookie: USER=123; expires=Wednesday, 09-Nov-99 23:12:40 GMT; HttpOnly

CSRF攻击

用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;
在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;
网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;
浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行

这种常用的就是同源检查和token的检查

aisjimoxue
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全问题---XSSCSRF
阳光下的冷静的博客
05-09 1199
XSS概念 XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。 XSS攻击原理 其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、...
前端安全:如何防止CSRF攻击
02-24
在移动互联网时代,前端人员除了传统的XSSCSRF安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
前端XSS攻击CSRF攻击
weixin_44823731的博客
12-25 501
1.XSS攻击 XSS攻击:(Cross Site Scripting)跨站脚本攻击。在渲染DOM树的过程中执行了不在预期内的js代码,就发生了XSS攻击攻击样例:在一些博客网站,发表一篇文章的时候,在文章中加入<script>alert('XSS攻击')</script>这种用script标签包含着的js语句。发表成功之后,当别人访问你的这篇文章的时候,就会自动执行alert('XSS攻击')这段代码。这样就属于xss攻击。更严重的,就在script标签中,获取你的cookie
前端安全XSSCSRF
qq_57334853的博客
07-29 768
XSS(Cross-site scripting)跨站脚本攻击: 用户在页面渲染数据时注入可运行的恶意脚本 目的是盗用cookie,获取敏感信息,得到更高权限
前端安全XSSCSRF
m0_46269977的博客
06-07 291
谈谈你对XSS攻击的理解 什么是XSS攻击 XSS全称是Cross Site Scripting,为了与CSS区分开来,故简称XSS,翻译过来就是跨站脚本 XSS是指黑客往HTML文件或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段 最开始的时候,这种攻击是通过跨域来实现的,所以叫跨域脚本,现在插入恶意代码的方式越来越多,所以是否跨域注入脚本已经不是唯一的注入手段了,但是这个XSS名字却一直保留至今 注入恶意脚本可以完成这些事情 窃取cookie 监听用户行为,比如
前端黑客之XSSCSRF
caoxinhui521的博客
08-09 463
XSS:跨站脚本,发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中出现了不被预期的脚本指令并执行时,XSS就会发生。 绝大多数XSS攻击都会采用嵌入一段远程或者第三方域上的脚本资源。任何安全问题都有“输入”的概念,很多时候输入的内容长度是有限制的。真正的XSS攻击弹出窗无意义。一般会注入类似 这样做的好处:攻击代码容易控制 XXS类型
前端安全系列:如何防止XSS攻击
02-25
在移动互联网时代,前端人员除了传统的XSSCSRF安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
TokenBasedSafe:一个展示针对XSSCSRF攻击的防护的网站
04-29
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的Reactjs... 该网站用于演示针对XSSCSRF攻击的防护
前端攻击xsscsrf
baibaider的博客
03-19 732
被动攻击:   诱发用户触发陷阱启动发送。 利用用户身份攻击企业内部网络。 主动攻击:   攻击者直接访问web应用,就能发起对web应用的攻击,比如sql注入(对数据运行非法sql产生的泄露机密信息)和os命令注入(通过程序运行非法操作系统指令,在能调用shell函数的地方,因为web通过shell来调用操作系统指令)。 xss:(Cross Site Scripting,为了区别于c...
前端安全XSSCSRF
mkbird的博客
09-08 1149
相对来说token的用户体验会更好,将token存在我们自己的网页中,只有通过自己的网页发起的请求才能携带token,而只有携带token的请求后端才会响应。更为严重的后果可能是,攻击者用你的账户再次发布了链接,其他用户一旦点开,就会继续中招,形成CSRF蠕虫,不断传播。脚本中创建一个图片,图片中创建一个img,在img的src中将请求地址改为自己的脚本,并附带当前网站的cookie,就可以拿到cookie了。点击搜索,我们会发现,网站"执行了"我们的脚本,这样我们就实现了最简单的xss攻击
前端安全知识(XSSCSRF
野生松
02-12 324
一、XSS(跨站脚本攻击xss:跨站脚本攻击(Cross Site Scripting)是最常见和基本的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 javascript 代码,从而当用户浏览该网页时,控制用户浏览器。 1、常见的攻击方式 在输入框输入恶意代码(例如评论) 劫持用户的cookie 2、防御方式 httpOnly: 在 cookie 中设置 Http...
前端安全XSSCSRF攻击
公众号:前端充电宝
08-02 633
目录1. 什么是XSS ?1.1 概念1.2 攻击方式1.3 危害1.4 分类2. 如何防御XSS?2.1 设置HttpOnly2.2 输入检查2.3 输出检查3. 什么是CSRF ?3.1 概念3.2 攻击方式4. 如何防御CSRF?4.1 验证码4.2 验证Referer4.3 cookie设置sameSite4.4 添加token验证 1. 什么是XSS ? 1.1 概念 XSS,即 Cross Site Script,是指跨站脚本攻击,原本缩应该为CSS,但是为了和层叠样式表(Cascading
前端安全XSSCSRF讲解
曹定栓的博客
08-07 1654
XSS 全称Cross Site Scripting,名为跨站脚本攻击。为啥不是单词第一个字母组合CSS,大概率与样式名称css进行区分。
前端安全-关于XSSCSRF
weixin_45460053的博客
08-27 126
XSS 跨站脚本攻击 CSRF 跨站请求伪造 1.XSS: 浏览器向服务器请求的时候被注入脚本攻击 类型: 1.反射型(非持久型):攻击者通过从url中输入XSS代码,作为输入提交到服务器端,服务器解析响应,XSS代码随着响应内容传回到浏览器,有浏览器解析执行XSS代码. 2.存储型(持久型):它与反射型不同的是,存储型会注入到服务器数据库中,从而使普通用户的每次请求都具有XSS代码,从而具备了扩散性. 3.基于DOM型:通过DOM来动态修改页面内容,从客户端获得DOM中的数据并在本地执行. 防范措施: 1
前端安全XSSCSRF防御)
weixin_30275415的博客
11-11 218
一、网络安全 OWASP:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project) OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。http://www.owasp.org.cn/ 二、XSS攻击 1、总...
前端xsscsrf部分概述
桃子阿桃
08-27 269
Web安全 私密性: 不被非法获取和利用 可靠性: 不丢失不损坏不被篡改 措施: 代码层面 架构层面 运维层面 安全问题: 用户身份被盗用 用户密码泄露 用户资料被盗取 网站数据库泄露 1. 前端XSS Cross Site Scripting 跨站脚本攻击 跨站有的时候并不是指一定要引用一个远程脚本, 更多的攻击和探测的时候会使用一个alert框来确认这个网站有没有xss漏洞 <span>欢迎来自{from}的朋友</span> XSS攻击基本原理: 程序 + 数据
前端必备知识点之CSRFXSS
weixin_44258964的博客
02-01 342
前端面试必备技能-CSRFXSS
浅谈Web前端安全策略xsscsrf,及又该如何预防?
moandaylab
05-28 1562
Web前端安全策略xsscsrf攻击和防御一、XSS跨站请求攻击1、什么是XSS2、场景模拟3、XSS攻击类型4、如何防御XSS二、XSRF跨站请求伪造1、什么是csrf2、场景模拟(1)场景一(2)场景二3、CSRF的特点4、CSRF攻击方式5、CSRF常见的攻击类型6、如何防御csrf三、CSRFXSS 区别四、结束语 随着前端技术的不断革新,前端早已不再是简简单单的做页面了。现在的前端网站上会涉及到大量用户的数据和隐私,那这些用户数据安全吗?答案并不是肯定的。因此,这个时候前端安全就显得尤为
sql注入 xss攻击csrf攻击的区别
最新发布
06-13
SQL注入、XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中插入恶意SQL代码,欺骗应用程序执行非...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值