前端安全-XSS、CRSF、SSRF总结

最新推荐文章于 2023-02-08 00:06:12 发布
VIP文章 最新推荐文章于 2023-02-08 00:06:12 发布
阅读量700 收藏 2
点赞数
分类专栏: 前端技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gcoder_/article/details/105297736
版权

引用
作者:美团技术团队
前端安全系列之一:如何防止XSS攻击?
链接:https://juejin.im/post/5bad9140e51d450e935c6d64
前端安全系列之二:如何防止CSRF攻击?
链接:https://juejin.im/post/5bc009996fb9a05d0a055192
作者:BerL1n 链接:https://www.jianshu.com/p/d1d1c40f6d4c
作者:z3r0yu 链接:https://xz.aliyun.com/t/2115

1.XSS攻击

1.1XSS定义

​ Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。

​ XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。

1.2XSS注入方式

  • 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。
  • 在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。
  • 在标签属性中,恶意内容包含引号,从而突破属性值的限制,注入其他属性或者标签。
  • 在标签的 href、src 等属性中,包含 javascript: 等可执行代码。
  • 在 onload、onerror、onclick 等事件中,注入不受控制代码。
  • 在 style 属性和标签中,包含类似 background-image:url("javascript:..."); 的代码(新版本浏览器已经可以防范)。
  • 在 style 属性和标签中,包含类似 expression(...) 的 CSS 表达式代码(新版本浏览器已经可以防范)。

总之,如果开发者没有将用户输入的文本进行合适的过滤,就贸然插入到 HTML 中,这很容易造成注入漏洞。攻击者可以利用漏洞,构造出恶意的代码指令,进而利用恶意代码危害数据安全。

1.3预防方式

  • 输入过滤:在用户提交时,由前端过滤输入,然后提交到后端。

    • 缺点:会导致乱码问题,只能解决特定的XSS问题。
    • 适用于有明确输入类型的数据的过滤:如数字、URL、电话号码、邮件地址等用户提交信息。

  • 预防存储型和反射型XSS攻击:存储型和反射型 XSS 都是在服务端取出恶意代码后,插入到响应 HTML 里的,攻击者刻意编写的“数据”被内嵌到“代码”中,被浏览器所执行。预防这两种漏洞,有两种常见做法:

    • 改成纯前端渲染,把代码和数据分隔开,浏览器先加载一个静态 HTML,此 HTML 中不包含任何跟业务相关的数据,然后执行HTML中JavaScript通过Ajax加载业务数据。-
    • 对 HTML 做充分转义:使用更完善更细致的转义策略,设置自定的HTML转义规则。

  • 预防 DOM 型 XSS 攻击:DOM 型 XSS 攻击,实际上就是网站前端 JavaScript 代码本身不够严谨,把不可信的数据当作代码执行了。要通过避免在字符串中拼接不可信数据。

2.CSRF攻击

2.1 CSRF定义

​ CSR

最低0.47元/天 解锁文章
GuoMell
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端开源库-xss-filters
08-29
前端开源库-xss-filtersXSS过滤器,安全XSS过滤器-足够的输出过滤来防止XSS
Web 安全漏洞 SSRF 简介及解决方案
Galaxy_0的博客
01-14 291
Web 安全漏洞 SSRF 简介及解决方案
简述Web安全SSRF漏洞
weixin_51220765的博客
12-10 338
Web安全SSRF漏洞 一、SSRF漏洞原理概述 概述: SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。 原理: 服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 二、SSRF可以做什么? 可以对外网服务器所在的内网、本地进行端口扫描,获取一些服务的banner信息 。 攻击运行在内网或者本地的应用程序。 对内网web应用进行指纹
SSRF
ws1813004226的博客
05-17 4107
一、SSRF是什么? SSRF是由一种攻击者构造请求,由服务器端发起请求的安全漏洞。一般情况下SSRF的攻击目标是外网无法访问到的内部系统。(正因为请求是由服务器发起的,所以服务器端能请求到与自身相连而与外网隔离的内部系统。) 二、SSRF是怎样形成的? SSRF的形成大多是由于服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。 三、SSRF主要攻击方式 (1)对外网,服务器所在内网、本地进行端口扫描,获取一些服务的banner信息。 (2)攻击运行在内网或本地的应用程序。 (3)对内
前端安全系列(一):如何防止XSS攻击?
WLsweety的博客
02-08 2670
在开始本文之前,我们先提出一个问题,请判断以下两个说法是否正确:1.XSS 防范是后端 RD(研发人员)的责任,后端 RD 应该在所有用户提交数据的接口,对敏感字符进行转义,才能进行下一步操作。2.所有要插入到页面上的数据,都要通过一个敏感字符过滤函数的转义,过滤掉通用的敏感字符后,就可以插入到页面中。如果你还不能确定答案,那么可以带着这些问题向下看,我们将逐步拆解问题。
美团技术团队前端安全系列
ljlinjiu的博客
11-04 635
前端安全系列(一):如何防止XSS攻击? https://juejin.im/post/5bad9140e51d450e935c6d64 前端安全系列之二:如何防止CSRF攻击? https://juejin.im/post/5bc009996fb9a05d0a055192 ...
CSRF和SSRF漏洞
zjdda的博客
05-28 679
CSRF和SSRF简介
前端如何防止XSS攻击
HarryHY的博客
08-09 6223
什么是XSS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各...
CSRF及SSRF详解
剁椒鱼头没剁椒的博客
11-29 4343
  CSRF(Cross-site Request Forgery,跨站请求伪造)是一种针对网站的恶意利用。   CSRF攻击可以利用用户已经登陆或已经授权的状态,伪造合法用户发出请求给受信任的网点,从而实现在未授权的情况下执行一些特权操作。  1)首先用户登录网站,并且生产本地的cookie。   2)用户在未登陆出网站的时候,访问攻击者构建的恶意网站。   当然若你关闭网站去访问恶意网站就会避免该问题,但不是绝对的,相信在日常使用中都会存在浏览器同时打开多个页面,很少说有人去访问一个网站的时候把另外的网
前端安全XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受...
anti-xss:AntiAntiXSS | 通过PHP防止跨站点脚本(XSS
05-02
:Japanese_secret_button: 反XSS “跨站点脚本(XSS)是一种通常在Web应用程序中发现的计算机安全漏洞。XSS使攻击者能够将客户端脚本注入到其他用户查看的网页中。跨站点脚本漏洞可能被攻击者用来绕过相同原产地策略...
关于__Federico Milano 的电力系统分析工具箱.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
mlab-upenn 研究小组的心脏模型模拟.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
混合图像创建大师matlab代码.zip
04-26
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
中序遍历二叉树-java版本
04-26
在Java中,实现二叉树的中序遍历同样可以通过递归来完成。中序遍历的顺序是:首先递归地中序遍历左子树,然后访问根节点,最后递归地中序遍历右子树。 在这段代码中,Node类定义了二叉树的节点,BinaryTree类包含一个指向根节点的指针和inOrder方法,用于递归地进行中序遍历。printInOrder方法调用inOrder方法并打印出遍历的结果。 在Main类中,我们创建了一个示例二叉树,并调用printInOrder方法来输出中序遍历的结果。输出应该是:4 2 5 1 3,这表示中序遍历的顺序是左子树(4),然后是根节点(2),接着是右子树的左子树(5),然后是右子树的根节点(1),最后是右子树的右子树(3)。
无头单向非循环链表的实现(SList.c)
最新发布
04-26
无头单向非循环链表的实现(函数定义文件)
两个有序链表的合并pta
04-26
"PTA" 通常指的是一种在线编程平台,例如“Pata”或者某些特定学校或组织的编程练习与自动评测系统。在这种平台或系统中,学生或程序员会提交代码来解决各种问题,然后系统会自动运行并评测这些代码的正确性。 当提到“两个有序链表的合并PTA”时,这通常意味着在PTA平台上解决一个特定的问题,即合并两个有序链表。具体任务可能是给定两个已按升序排序的链表,要求编写代码来合并这两个链表,形成一个新的有序链表。
-xmx -xms -xmn -xss
07-08
您的第一个问题是关于 JVM 的参数,分别是 -Xmx、-Xms、-Xmn 和 -Xss。 - -Xmx:指定 JVM 的最大堆内存大小,用于存放对象实例和数组。例如,-Xmx2g 将最大堆内存设置为 2GB。 - -Xms:指定 JVM 的初始堆内存大小,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值