XSS攻击与CSRF攻击

最新推荐文章于 2024-08-28 16:34:38 发布
最新推荐文章于 2024-08-28 16:34:38 发布
阅读量293 收藏 3
点赞数 10
分类专栏: javaScript面试题汇总 文章标签: xss csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fyw1789/article/details/140700745
版权

XSS攻击

XSS(Cross Site Scripting,跨站脚本攻击),是指攻击者利用站点的漏洞,在表单提交时,在表单内容中加入一些恶意脚本,当其他正常用户浏览页面,而页面中刚好出现攻击者的恶意脚本时,脚本被执行,从而使得页面遭到破坏,或者用户信息被窃取。

在这里插入图片描述

防御方式

服务器端对用户提交的内容进行过滤或编码

  • 过滤:去掉一些危险的标签,去掉一些危险的属性
  • 编码:对危险的标签进行HTML实体编码

CSRF攻击

CSRF(Cross-site request forgery,跨站请求伪造)

它是指攻击者利用了用户的身份信息,执行了用户非本意的操作

image-20211101145156371

防御方式

防御手段防御力问题
不使用cookie⭐️⭐️⭐️⭐️⭐️兼容性略差
ssr会遇到困难,但可解决
使用sameSite⭐️⭐️⭐️⭐️兼容性差
容易挡住自己人
使用csrf token⭐️⭐️⭐️⭐️⭐️获取到token后未进行操作仍然会被攻击
使用referer防护⭐️⭐️过去很常用,现在已经发现漏洞
今天你有学习吗
关注
  • 10
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端技能树,面试复习第 36 天—— 浏览器原理:如何预防 XSS 攻击CSRF 攻击
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
07-24 310
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而**盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。...
了解XSS攻击CSRF攻击
xxx
09-06 290
XSS(Cross-Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。这种攻击通常发生在 web 应用程序中,攻击者通过注入恶意脚本来利用用户对网站的信任,从而在用户的浏览器上执行恶意操作。XSS 攻击可以分为三种主要类型:Stored (持久型) XSS 攻击攻击者将恶意脚本存储在服务器上,然后这些脚本被返回给用户,被用户浏览器解释并执行。常见的场景是在用户评论、留言板等地方注入恶意脚本,一旦其他用户访问这些内容,就可能受到攻击
XSS攻击CSRF攻击
weixin_47198976的博客
08-28 405
XSS攻击CSRF攻击
XSSCSRF 攻击
gxll499294075的博客
03-21 199
一、XSS 1.1 XSS概念 XSS(Cross Site Scripting):跨域脚本攻击。 1.2 XSS攻击原理 XSS攻击的核心原理是:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 最后导致的结果可能是: 盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击 1.3 XSS攻击方式 1.3.1 反射型 发出请求时,XSS代码出现在u...
浅谈xsscsrf攻击
hhhhhhhssss的博客
07-18 421
文章目录前言一、XSS是什么?二、使用步骤1.引入库2.读入数据总结 前言 由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题。下面我们一起来聊一聊最常见的两种攻击方式,xsscsrf吧! 一、XSS是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import mat
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
在Yii框架中,防止SQL注入、XSS攻击CSRF攻击是保障Web应用安全的重要环节。接下来将详细说明Yii框架在这些方面的防范策略和措施。 首先,对于SQL注入的防护,Yii框架通过多种手段来确保数据的安全性。例如,可以...
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
XSS LABS - Level 11 过关思路
Blue17 の 小窝
08-26 756
我们在测试过,对其传参并不会回显后就直接放弃了对其的测试。客户小红,在 A 网站的管理后台上操作时,不小心点击到了广告链接,此广告会直接跳转到 B 网站(携带 Referer 字段),Hacker 通过查看后台获取的 Referer 字段,成功冒充小红的身份,进入 A 网站。那攻击者是否可以也编写一个插件,内部隐藏攻击代码,如果受害者电脑上安装了此插件,并且访问了指定站点(含有 XSS 漏洞的站点),插件自动触发攻击,重新请求该页面,并修改 Referer 字段,导致页面被篡改。
burpsuite xssValidator插件(xss插件)
墨痕诉清风的博客
08-23 250
上边的两个链接都要下载(两个文件放在同一个文件夹下)修改完之后点击start attack开始扫描。下载好之后将phantomijs加入环境变量。3. 把数据包右键发送到 intruder。这里也修改一下,和上边的字符串保持一致。如果成功的话,这里会打勾。
一道xss题目--intigriti-0422-XSS-Challenge-Write-up
banliyaoguai的博客
08-25 578
当然后也有别的merge,如下图,这里有qs.settings这个属性然后就可以尝试控制decSettings,但是我们的注入点在那个上面呢,不急接着往下看。我们尝试构造一个原型对象原型对象有一个属性名为1的属性,然后temp[1]又是空,我们访问1的时候就可以取出1里面的内容。绕过的方法就看root了,root下面有很多方法,我们想办法找到decSetting.root上面的元素,如下面。在这里你输入什么接的就是什么,比如输入的是config然后接的就是qs.config,所以我们用户可控的点在这里。
什么是CSRF跨站请求伪造
最新发布
weixin_47503016的博客
08-28 117
什么是CSRF跨站请求伪造
CSRF简单介绍
2301_82000839的博客
08-25 242
欢迎交流。
ssrf做题随记--任务计划的写入、csrf简单知识
banliyaoguai的博客
08-28 263
如何防御:在from表单下添加一个字段:token值,这个东西攻击者是伪造不了的,服务器在你第一次登陆的时候,会生成一个token,然后将这个token返回给你,然后下次你再登陆的时候携带这个token值去登陆,然后服务器会检测token的合法性。linux里面的cron中command执行的shell环境是/bin/sh,ubuntu下的/bin/sh文件是一个软连接文件,然后再ubuntu中这个软连接文件指向了dash,而我们的反弹计划反弹的是bash。centos写入任务计划是很正常的,该咋写咋写。
CSRF 概念及防护机制
Bryant5051的博客
08-28 709
描述了 CSRF 的基本概念和相关的防护机制
SSRF和CSRF实战复现
qq_63890458的博客
08-24 871
ssrf和csrf的复现(粗略步骤),旨在对自己加固自己对ssrf的理解与实操,中途遇到很多小问题也尽量解决,理解每一步骤的原理,以及分析对漏洞的判断过程都是我相当重要的经验。
JavaScript代码片段
weixin_66128399的博客
08-26 343
使用场景是:后端列表查询接口,某个字段前端不传,后端就不根据那个字段筛选,例如name不传的话,就只根据page和pageSize筛选,但是前端查询参数的时候(vue或者react)中,往往会这样定义。给后端发送数据的时候,要判断某个属性是不是空字符串,然后给后端拼参数,这块逻辑抽离出来就是cleanObject,代码实现如下。leading-true,trailing-true:在延时开始时就调用,延时结束后也会调用。//第一个参数指定位数,第二个字符串指定字符,都是可选参数,如果都不传,默认生成8位。
vue ref和reactive区别
灰海
08-25 1544
在第二个示例中,我们使用了reactive来创建一个名为state的响应式对象,它包含name和age两个属性。在模板中,我们通过{{ state.name }}和{{ state.age }}来显示state对象的属性值。在第一个示例中,我们使用了ref来创建一个名为count的响应式引用,它是一个简单的数字类型。在模板中,我们通过{{ count }}直接显示count的值,而不需要.value前缀,因为Vue的模板语法会自动处理ref的.value访问。
sql注入 xss攻击csrf攻击的区别
06-13
2. XSS攻击: - **定义**:攻击者在网站上植入恶意脚本,当用户访问含有这些脚本的页面时,脚本会在用户的浏览器上执行,可能窃取用户信息或控制用户的会话。 - **目标**:影响用户浏览器,操纵前端显示内容,或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值