web安全指XSS与CSRF

最新推荐文章于 2023-02-19 22:30:00 发布
最新推荐文章于 2023-02-19 22:30:00 发布
阅读量186 收藏
点赞数
分类专栏: html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjFrontEnd/article/details/88124051
版权

根据《图解http》一书关于web攻击的介绍,攻击的模式有两大类,主动攻击与被动攻击

主动攻击:

主要针对服务器上的资源进行攻击,代表攻击方式有SQL注入与OS命令注入.

被动攻击:

攻击者并不是直接对web应用发起攻击, 而是通过一定的引诱或者圈套策略发起攻击.

 

被动攻击中最常见的两种攻击方式是XSS与CSRF:

xss(cross-site-scripting):跨站脚本攻击

跨站脚本攻击的类型分为两种:

反射型: url里面带有攻击代码

存储型: 从后台读取到的内容里含有攻击代码

防御方式: 纯文本:在提交时转义;富文本: 白名单过滤

 

csrf(Cross-site request forgery):跨站请求伪造

请求伪造的原理,网上有一张比较常见的图片:

原理简而言之就是:

受信任的用户C在A网站登录后没有登出, 产生cookie之后访问了危险网站B,被诱导点击了请求A网站的地址,由于浏览器会自动上传cookie, 所以网站B就达到了模拟用户C进行操作的目的

常见的解决方案分为三种:

1.使用token进行登录验证

token验证是最常用的验证方式,一般情况下由服务端给客户端发送一个用于身份验证的token,客户端再发送请求的时候将token传递回去,如果token验证不通过,那么服务端会拒绝该请求

2.进行refer验证

refer意指来源,验证请求来源的意思是只有本站的请求,服务器才做出响应,不然的话, 就拦截请求.

3.使用隐藏令牌

隐藏令牌的方法本质上与方法一没有太大区别, 只是使用方式不同.

 

二者之间的区别如下:

区别一:

CSRF:需要用户先登录网站A,获取 cookie。XSS:不需要登录。

区别二:(原理的区别)

CSRF:是利用网站A本身的漏洞,去请求网站A的api。XSS:是向网站 A 注入 JS代码,然后执行 JS 里的代码,篡改网站A的内容。

 

 

 

cjFrontEnd
关注
专栏目录
[Web安全] xss&CSRF漏洞初探
qq_42551635的博客
09-06 801
[Web安全] xss&CSRF漏洞初探 正文|xss简介 现代网站往往会包含大量的动态内容,动态内容是web应用程序根据用户环境和需要来输出相关内容。跨站脚本攻击(cross site scripting)是一种针对网站应用程序的安全漏洞利用技术,是代码注入漏洞的一种,它使得攻击者可以通过巧妙地方法向网页中注入恶意代码,用户浏览器在加载网页、渲染html文档时就会执行攻击者的恶意代码,攻击成功后,攻击者可能得到很高的权限,获取私密网页内容、会话、cookie等敏感信息。XSS可以理解为在用户
Web安全XSSCSRF以及如何防范,2024年阿里网络安全面试题及答案
2401_83974064的博客
04-18 770
CSRF, 即Cross-site request forgery)中译是跨站请求伪造;CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。
CSRF(跨站请求伪造)漏洞
weixin_50464560的博客
08-25 1340
CSRF(Cross-site request forgery) 跨站请求伪造,由客户端发起,是一种劫持受信任用户向服务器发送非预期请求的攻击方式,与XSS相似,但比XSS更难防范,常与XSS一起配合攻击 原理详解 攻击者盗用了你的身份信息,以你的名义发送恶意请求,对服务器来说这个请求是你发起的,却完成了攻击者所期望的一个操作 漏洞危害 修改用户信息,修改密码,以你的名义发送邮件、发消息、盗取你的账号等 攻击条件 用户已登录存在CSRF漏洞的网站 用户需要被诱导打开攻击者构造的恶意网站 攻击过程 .
Yii中的安全防护
Fhang
12-07 499
前言:最近有一份招聘,引起了我对网络安全的极大兴趣。非常感兴趣的决定研究下yii中的安全特性。在应用yii开发的时候知道怎么用安全特性,但一些原理没有去理会过。参考:http://blog.csdn.net/baidu_zhongce/article/details/50394178防SQL注入SQL 注入虽然是最低级的Web安全内容了。但还是说一下吧,yii中我们采用Model::find->wh
Unable to verify your data submission.加入了_csrf也报400错误的解决
Marswill
02-28 4661
对于这个错误一般有以下两种解决方案: 1.在form标签中添加<input type="hidden" name="_csrf" value="<?=Yii::$app->request->csrfToken?>" /> 2.在控制器开始部分添加public $enableCsrfValidation = false; 如果你添加了以上标签还是报错那么你需要坚持看完这篇文档
yii2 html form,YII2中ajax通过post提交form表单数据报400错误的解决方法
weixin_30187777的博客
06-10 247
摘要:YII2中通过ajax post表单数据需要验证CSRF否则post数据是无法提交过去的。虽然有其他人提供过解决方案,但都不够完整,除了把enableCsrfValidation设为false外,其他的方法都有不小的问题。这里就给大家分享完整的ajax post提交表单数据验证不通过的解决方法。 YII2中通过ajax post表单数据需要验证CSRF否则post数据是无法提交过去的。...
Yii Framework 中文网 Python 脚本自动签到
hedeqiang
03-19 234
在 Yii China 上手动签到了455 天,我都不知道是怎么坚持下来的......... 今天终于换为自动签到了,使用 Python 脚本一键签到。 文章内容来自友链 @沈唁志 1、安装环境 目前 我的 Ubuntu 服务器自带 Python 版本 2.7.12,以及 Python 3.5.2 ...
Java Web应用安全防护:抵御CSRFXSS攻击的策略
08-28
CSRFXSS攻击是Web应用开发中必须面对的安全挑战。通过本文的详细介绍,你应该能够理解这些攻击的原理和防护策略。在Java Web应用开发中,实施有效的CSRFXSS防护措施是确保用户数据安全和应用稳定性的关键。随着...
Web 安全XSSCSRF
技术小屋
04-08 291
前言 目前web安全问题主要有下面几个: XSS漏洞 CSRF漏洞 XSS 跨站脚本攻击(Cross Site Scripting),攻击者往 Web 页面插入恶意的 Script 脚本代码,当用户访问页面的时候,嵌入的脚本代码就会执行,这样,攻击者可以通过 Script 脚本代码获取用户的 cookie 等信息,模拟用户的请求等达到攻击目的。 XSS 分类 存储型:X...
web安全 - xsscsrf
javagty6778的博客
02-19 158
比较常见的一个场景是攻击者在社区或论坛上写下一篇包含恶意 JavaScript 代码的文章或评论,文章或评论发表后,所有访问该文章或评论的用户,都会在他们的浏览器中执行这段恶意的 JavaScript 代码。现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;
yii2表单提交CSRF验证
DuTianTian_csdn的博客
06-26 576
Yii2表单提交默认需要验证CSRF,如果CSRF验证不通过,则表单提交失败,解决方法如下:第一种解决办法是关闭Csrfpublic $enableCsrfValidation = false;第二种解决办法是在form表单中加入隐藏域(如果是高级版的name值分前后台区分) &lt;input type="text" name="_csrf-frontend" value="&lt;?= Yii...
yii 您提交的数据无法被验证。
征途人生&梦
07-29 4634
在做页面前端在线留言时,我没有使用ActiveForm生成表达,而是用html写的,在提交时报您提交的数据无法被验证。,在网上查了资料,说在表单中添加隐藏域 request->csrfToken ?>"> 但添加了还是不行,网上找了很久依旧无法解决,后来我看了下后台的写法,后台是这样写的: 因为我用的是高级版,可能这就是区别吧,于是写成这样: request->csrfToken
yii2.0的csrf问题
Harakin的博客
10-25 464
1.可以在form表单中传一个隐藏域 input name="_csrf-frontend" type="hidden" id="_csrf" value="\Yii::$app->request->csrfToken ?>"> 2.在ajax传值时可以在header中传csrf的值 headers:{"\yii\web\Request::CSRF_HEADER.'":"'. \
YII2实现隐含backend\web和frontend\web及前后台分别登录验证
yshir
05-21 536
由于很多虚拟主机没有提供修改主页根目录的功能, 导致我们无法将域名绑定到frontend\web目录下, 只能用 www.xxx.com/frontend/web来访问我们的网站和 www.xxx.com/backend/web来访问后台, 这样很不方便和美观, 所以我们要做的是把backend/web和frontend/web隐含,直接用 www.xxx.com来访问我们的网站. 一. 在网站的根目录下面创建.htaccess文件 Options -Indexes Options +FollowSy
yii2学习之CSRF验证
热门推荐
小刚的博客
08-12 1万+
什么是CSRFCSRF(跨站请求伪造),通过盗用你的身份,发送一些恶意请求,比如更改用户密码、删除账户、发送邮件、以你的身份购买商品等。攻击原理:用户A访问网站B,登录验证通过后会在用户A的浏览器中产生登录B网站的cookie,这时用户A在没有退出登录情况下访问恶意网站C,C的网站中有去请求网站B的Request,浏览器会带着之前的cookie去请求B,而B无法分别是用户A发出的还是网站C发出的,固
Yii2.0 _csrf 您提交的数据无法被验证
Oscaner
02-28 4765
在yii中,经常会碰到 您提交的数据无法被验证 这种情况 这是因为yii有一个csrf验证 关闭csrf验证 在控制器中添加 public $enableCsrfValidation = false; 在form表单中添加隐藏域 &amp;lt;input name=&quot;_csrf&quot; type=&quot;hidden&quot; id=&quot;_csrf&quot; value=&amp
Web安全CSRF实例解析
frontend_frank的博客
07-06 1444
CSRF跨站请求伪造(Cross Site Request Forgery),是黑客诱导用户打开黑客的网站,在黑客的网站中,利用用户的登陆状态发起的跨站请求。CSRF攻击就是利用了用户...
考虑P2G和碳捕集设备的热电联供综合能源系统优化调度模型(Matlab代码实现).rar
最新发布
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
可提高超声成像系统在时间延迟多普勒参数方面的分辨率 matlab代码.rar
10-09
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值