web安全(xss及csrf)

已于 2022-07-13 22:39:35 修改
阅读量993 收藏 3
点赞数 1
分类专栏: 基础 前端 h5 文章标签: 前端 移动端 vue.js 经验分享 其他
于 2022-07-13 22:01:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c62387723sq/article/details/125773372
版权
基础 同时被 3 个专栏收录
69 篇文章 1 订阅
订阅专栏
前端
68 篇文章 1 订阅
订阅专栏
h5
22 篇文章 1 订阅
订阅专栏

xss

xss : 把一些数据直接拿来用,比如url,input中输入了一些东西,请求的资源等等一些用户能自定义的一些东西

比如:在input中输入一些标签(script标签),没进行过滤或转义(转义是把它们转成实体字符)

实体字符:
< 小于符号的实体字符,在页面中替换成<。

https://blog.csdn.net/weixin_49007365/article/details/118583523

html Sanitizer API(最新 消毒api)

10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。

Web网络安全中最大的一类安全威胁是XSS跨站点脚本攻击,如何解决这类漏洞和攻击是开发、运维和安全工程师比较头疼的问题。目前由谷歌、Mozilla和Cure53联手提供Sanitzer API即将完成最后的开发

https://blog.csdn.net/powertoolsteam/article/details/121650718

注:csp也可以防xss

CSP

CSP指的是内容安全策略。

CSP以白名单的机制对网站加载或执行的资源起作用。在网页中,这样的策略通过HTTP头信息或者meta元素定义
CSP虽然提供了强大的安全保护,但是他也造成了如下问题:Eval及相关函数被禁用、内嵌的JavaScript代码将不会执行、只能通过白名单来加载远程脚本

(1)使用HTTP的 Content-Security-Policy头部

在服务器端使用 HTTP的 Content-Security-Policy头部来指定你的策略

只能从同域下加载 :

Content-Security-Policy: default-src 'self'

Content-Security-Policy-Report-Only :收集报告,但没有限制请求

(2)使用meta标签

限制表单:

<meta http-equiv="Content-Security-Policy" content="form-action 'self';">

https://www.jianshu.com/p/74ea9f0860d2

csrf

csrf: 主要借助于浏览器的一些认证机制,很多网站都是基于cookie和session id 等等来存储的

什么是 CSRF 攻击?

CSRF 是跨站点请求伪造 (Cross—Site Request Forgery),跟 XSS 攻击一样,存在巨大的危害性。
CSRF攻击原理及过程如下:

  1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A;

  2. 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;

  3. 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B;

  4. 网站B接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点A;

  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带Cookie信息,向网站A发出请求。网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。

CSRF 攻击防护

目前防御 CSRF 攻击主要有三种策略:验证 HTTP Referer 字段;在请求地址中添加 token 并验证;在 HTTP 头中自定义属性并验证。

  1. 尽量使用 POST,限制 GET
  2. 浏览器 Cookie 策略
  3. 加验证码
  4. Referer Check(Referer Check 在 Web 最常见的应用就是 “防止图片盗链”。)
  5. Anti CSRF Token(现在业界对 CSRF 的防御,一致的做法是使用一个 Token(Anti CSRF Token)。
    在这里插入图片描述
    注:
    CSRF 的 Token 仅仅用于对抗 CSRF 攻击。当网站同时存在 XSS 漏洞时候,那这个方案也是空谈。
    所以 XSS 带来的问题,应该使用 XSS 的防御方案予以解决。

Cookie

PS:Cookie 分为两种

Session Cookie(在浏览器关闭后,就会失效,保存到内存里),

Third-party Cookie(即只有到了 Exprie 时间后才会失效的 Cookie,这种 Cookie 会保存到本地)。

PS:另外如果网站返回 HTTP 头包含 P3P Header,那么将允许浏览器发送第三方 Cookie。

h5页面登陆问题

因为http是无状态的,在下一次用户登录时不可能让用户再登录一次,所以必须要记住用户的身份。

所以服务端会在请求返回的时候给一个set Cookie走一下这个cookie,下一次浏览器再发请求时,浏览器会把这个cookie带上,服务端就知道我是谁了

如果这是一个转账的东西(比如一个简单的get),可能点击一下就钱就被转走了,然后浏览器紧跟着也出了一些策略

https://www.wangan.com/wenda/3482

https://blog.csdn.net/u013934914/article/details/50428869

注:
各个浏览器有个属性设为默认值(以前是null),get请求还是会带cookie,但post就不会带了

注:
原来的采集用户的喜好(推荐商品)就是通过这种多网站的第三方的cookie来做的,禁了就做不了了

注:
csrf的cookie问题可以通过cookie的samesite属性来解决
在这里插入图片描述
在这里插入图片描述

差不少
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全 - xsscsrf
javagty6778的博客
02-19 132
比较常见的一个场景是攻击者在社区或论坛上写下一篇包含恶意 JavaScript 代码的文章或评论,文章或评论发表后,所有访问该文章或评论的用户,都会在他们的浏览器中执行这段恶意的 JavaScript 代码。现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;
HTML5 API --- Screen Orientation API简介
HTML5, Chromium和WebKit技术
02-16 8922
[本文属原创,如有转载,请注明出处http://blog.csdn.net/yl02520/article/] 在移动平台的游戏中,我们经常需要通过倾斜或旋转移动设备来控制游戏中的元素,例如赛车游戏中我们需要左右倾斜来控制赛车的左右转向,神庙逃亡游戏中我们同样需要左右倾斜移动设备来控制人物行走位置的方向。设想一下,如果设备的倾斜让游戏画面产生旋转,游戏画面需要重绘来适应屏幕尺寸的改变,那对游
JavaScript Sanitizer API:原生WEB安全API出现啦
葡萄城技术团队博客
12-01 427
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中比较让开发者们头疼的一类是XSS跨站点脚本攻击。这种攻击通常指的是通过利用网页开发时留下的漏洞,即将恶意指令代码注入到网页,使用户加载并执行攻击者恶意制造的网页程序。 这些恶意代码没有经过过滤,与网站的正常代码混在一起,浏览器无法分辨哪些内容是可信的,恶意脚本就会被执行。而X
网页安全XSS攻击和CSRF攻击
布里渊区
07-08 183
1、XSS攻击 通过各种手段,往网页上插入一些非法脚本,获取用户信息。 比如 通过form表单,输入 <script> let cookie = document.cookie post(url,cookie) </script> 解决方法:服务端对于输入内容的特殊字符要进行转移 ...
跨站攻击(XSS+CSRF).docx
最新发布
01-05
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
Web应用安全CSRF进阶.pptx
06-18
一般来说,CSRF的作用范围局限于用户,可信网站和恶意网站直接,危害范围较小,可是如果XSS嵌入的恶意脚本具有自我复制以及借助受攻击的可信站点进一步传播的能力,那就会变成CSRF的进阶版:CSRF蠕虫。 CSRF进阶 3、...
Web安全的三个XSS-CSRF-CLICK攻防姿
11-01
Web安全的三个XSS-CSRF-CLICK攻防姿Web安全的三个XSS-CSRF-CLICK攻防姿
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 ...也就是说,打开一个服务器上...
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
web安全XSSCSRF
曾佳徐的博客
02-09 8241
XSS XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。 分为反射型和持久型 反射型 XSS代码出现在URL中,服务端解析响应后,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。 img标签 src为空 onerror 持久型 持久型也就是攻击的代码被服务端写入进数据库中,比如用户提交评论,将包含XSS代码的内容提交,然后服务端将内容保存数据库中。之后其...
常见六大Web安全攻防解析
weixin_34352449的博客
01-31 1326
前言 在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?本文主要侧重于分析几种常见的攻击的类型以及防御的方法。 想阅读更多优质原创文章请猛戳GitHub博客 一、XSS XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏...
web安全CSRFXSS详解
qq_42586895的博客
02-22 1913
CSRFXSS CSRF CSRF (Cross Site Request Forgery)攻击,中文名:跨站请求伪造。 攻击原理:攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。对于 GET 形式的接口地址可轻易被攻击,对于 POST 形式的接口地址也不是百分百安全,攻击者可诱导用户...
详解Web安全攻防战(DoS攻击、CSRFXSS、SQL注入)
五撸超人的博客
03-31 3165
       之前学校做的项目都没有像样地考虑过安全方面的问题。今天复习面试的时候看到Web安全部分,学习并总结一下。(PS: Web安全几乎是大厂面试必问的问题,想进大厂的同学注意啦。) 前言        用户信息泄露、网站被黑甚至网银被盗用的事件屡见不...
Web安全防范(XSSCSRF)
weixin_33918357的博客
01-28 137
注:以下文章是我从公众号“码农翻身”中的《黑客三兄弟》抽取总结出来的,这个公众号采用说故事的方式讲解技术,清晰通俗易懂,能学到很多知识。 XSS(Cross Site Scripting) 利用别人的cookie,可以冒充真实的用户,在颁发cookie的那个网站中为所欲为。因为浏览器的同源策略,所以不能获取到其他网站的cookie,但通过...
Web安全XSSCSRF
sll19891018的博客
03-21 228
XSS跨站脚本攻击    它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。三种类型:反射型、存储型、DOM型。攻击:1、注入代码可盗取用户信息、cookie;2、注入代码实现页面跳转,导航到恶意网站;3、破坏页面结构防御:        对数据进行Html Encode 编码处理;        避...
三种常见web攻击方式,xsscsrf和clickJacking
青天的博客
09-02 3048
最近看了360的前端面试题,其中涉及到了很多web安全的知识,突然意识到自己对这方面知之过少,所以花了一下午时间简单了解梳理了web安全相关的基础知识,在这里记录三种比较『纯』前端的攻击方式及其相应的防御方法 一、xss跨站脚本攻击(Cross Site Scripting) 如果网站带有评论功能并将评论内容直接存到服务器中,那么显示评论的时候就可能遭到之前恶意用户恶意评论的攻击 原理主要是通过在评
XSSCSRF两种攻击方式总结
JunDao73的博客
02-16 5740
Web Api安全性设计
Fanbin168的专栏
03-29 6558
分布式通讯框架-->一个系统要访问另外一个系统中的数据,有一下三种方法,第一种分为2种 1.0 ,MVC Webapi  (严格的讲它其实仅仅是一个设计方案,而不是一个设计框架,Webapi流行的标准RESTfu) (也需要做安全性设计) 1.1 , 自己写一个.ashx一般处理程序 (它其实就是提供一个url供别人调用,这个url返回一个xml或者一个Json格式的数据,但是
安全测试中xsscsrf的区别是什么
05-20
XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是两种常见的Web应用程序安全漏洞。 XSS攻击是指攻击者将恶意脚本注入到Web页面中,使得用户在浏览页面时执行该脚本,从而导致攻击者可以窃取用户的敏感信息、劫持用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值