csrf 与 xss 攻击

最新推荐文章于 2022-06-08 11:23:45 发布
最新推荐文章于 2022-06-08 11:23:45 发布
阅读量193 收藏
点赞数 1
分类专栏: 前端 js 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dadadeganhuo/article/details/88784480
版权
前端 同时被 3 个专栏收录
26 篇文章 0 订阅
订阅专栏
js
12 篇文章 0 订阅
订阅专栏
安全
2 篇文章 0 订阅
订阅专栏

CSRF 攻击

Cross-site request forgery , 即跨站请求伪造。 通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

下面我用一个生动形象的例子来解释攻击原理:

用户小明登录了自己的招商信用卡,于是在浏览器就存了他登录的招商的 cookie 信息。 这个时候,他去打开了一个危险网站,那个网站会偷偷给你发起登录招商的接口请求,然后浏览器不知不觉就拿着之前的那个 cookie 去请求了, 然后请求成功了,危险网站获取到了你在招商上面的信息了。

这就是跨站请求伪造的来源了,那么要如何防御呢?

1 不要去危险网站?
网站这么多,你也不能知道到底谁危不危险, 怕是不行。
2 请求二次确认
通过设置二次确认,如验证码等,伪装的请求无法模拟这类信息。
3 请求携带自身网站标记
招商内部的前端与后端约定好需携带的请求标记,标记此请求来自自己网站上的请求,外部伪装的请求不知道你们的暗号
4 - - 欢迎补充

XSS 攻击

Cross-Site Scripting(跨站脚本攻击)为了和 CSS 区分, 简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

生动的例子:

一个可恶的人,刷到了你的博客网站,然后他在评论里面写了一段脚本

<script type="text/javascript">
(function () {
    alert('1');
 }());
</script>

然后当他提交的时候,你直接innerHTML 插入你的 dom 中,恭喜你,你被整了。
更或者,他写了一个网址,然后你去点击,恭喜,网址指向他自己写的脚本,并且立即执行了。

所以通过这一现象,我们可以很好地知道防止的方式就是,通过转义用户的输入信息,让用户的输入只做展示,不会进行执行或可点击。

如上面的那一段代码,可以通过把 < 、 > 进行转义

 &ltscript&gt
   (function () {
        alert('1');
    }());
&lt/script&gt

即可正常展示了。

详解
https://tech.meituan.com/2018/09/27/fe-security.html

写代码的女生酷不酷
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1515
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击的原理、特点以及xssCSRF的区别
XSS攻击CSRF攻击
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
代码复现CSRF攻击并解决它
kobe_okok的博客
06-08 676
From 百度百科:CSRF跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。我们创建两个站点: 一个是正常的网站,没有防御CSRF攻击 另一个是黑客的网站,专门对没有CSRF的网站
【Web 安全】CSRF 攻击详解
热门推荐
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
浅谈xsscsrf攻击
半路出家的码农小王
05-15 2480
文章目录 前言 一、XSS是什么? 存储型(持久型) 反射型(非持久型) dom型 二、CSRF是什么? 总结 前言 由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题,很容易被黑客入。下面我们一起来聊一聊最常见的两种攻击方式,xsscsrf吧! 一、XSS是什么? XSS 全称是 Cross Site Scripting(即跨站脚本),为了和CSS区分,故叫它XSSXSS攻击是指浏览器中执行恶意脚本(无论是
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
跨站攻击(XSS+CSRF).docx
最新发布
01-05
实验目的与要求 1. 能理解XSS注入原理; 2. 能应用Low等级、Medium等级、High级别的XSS; 3. 能理解XSS的修复。 4. 能从攻击者角度、受害者角度描述CSRF; 5. 能应用Low等级、Medium等级的CSRF实现; 6. 能摸索High...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
简析XSSCSRF 两种跨站攻击
江湖
09-21 5032
XSS跨站脚本攻击,注入攻击的一种。攻击者利用应用程序的动态展示功能,在HTML页面中嵌入恶意代码。当用户浏览该页时,这些嵌入在html的恶意代码就会被执行,用户浏览器被攻击者控制。。。。 1.盗取用户cookie,伪造用户身份 2.控制用户浏览器 3.结合浏览器及其插件漏洞,下载病毒木马到浏览者的计算机运行 4.衍生URL跳转漏洞 5.官网挂钓鱼网站 6.蠕虫攻击
什么是XSSCSRF攻击,怎么防护
MaRain
03-19 3735
什么是SXX XSS跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 CSRF:跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 ...
CSRF攻击
调皮的写代码
06-07 231
一、CSRF攻击
「安全系列之CSRF」如何防范csrf攻击
qq_35789269的博客
04-07 3972
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSSCSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。 前端安全 近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大
前端系统复习之安全篇
李天下
09-04 248
CSRF CSRF的基本概念、缩写、全称 攻击原理 防御措施 如果把攻击原理和防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发co...
xss 攻击csrf 攻击浅显的理解
lizhihaoweiwei的专栏
07-19 339
xss 攻击csrf 攻击浅显的理解
web安全————CSRF攻击篇)
longger_lee
12-07 919
跨站请求伪造CSRF)      首先先来看一个实例:当用户在某个论坛上删除某篇文章时,通过抓包获取请求如下:      http://blog.sohu.com/manage/entry.do?m=delete&id=12345678。用户登录后cookie为有效状态下,服务器接受到上述请求将会当作一次更新操作执行。为了完成CSFR攻击攻击者需要构造一个页面:http://www.a.c
详解XSS攻击CSRF攻击
马小兜要努力呀
07-23 666
什么是XSS攻击XSS中文名称就是跨站脚本攻击XSS的重点不在于跨站点而在于脚本的执行,那么XSS的原理是:恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中的script代码会执行,因此会达到恶意攻击用户的目的。XSS攻击分为如下几类:反射型、存储型、DOM-based型,反射型和DOM-based型可以归类为非持久的XSS攻击,存储型可以归类为持久性的XSS攻击。 反射型XSS 简而言之,代码出现在url中,作为输入提交到服务器端 原理:反射型
xss攻击csrf攻击的定义及区别
最爱奶油花生
01-17 419
1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Coo...
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1844
关于XSS跨站脚本攻击)和CSRF跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
csrfxss漏洞的区别
05-30
XSS攻击者则是将恶意脚本注入到网页中,当用户访问该页面时就会触发攻击。 3. 影响范围不同:CSRF攻击范围通常是站内,即攻击者需要知道站内某个接口的请求方式和参数,才能发起攻击;而XSS则是在网页中注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值