XSS和CSRF攻击原理及防御

最新推荐文章于 2024-04-16 18:29:26 发布
最新推荐文章于 2024-04-16 18:29:26 发布
阅读量1.1k 收藏 3
点赞数
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/i_comeaa/article/details/90601774
版权

XSS,又名跨站脚本攻击。通过注入js代码来发起攻击。
攻击对象:响应式功能页面,比如:论坛,论坛的特点是写上的文本会被显示在页面中,这种就容易被XSS盯上。
攻击原理:通过插入带有js的script标签或者可执行的js代码来实施攻击,html标签属性,url带有JavaScript脚本。
防御措施:
1、过滤输入内容,把<>等转换成&lt、&gt等。
2、设置响应头X-XSS-Protection,浏览器会自动检测可能产生XSS攻击的输入。
3、过滤以javascript开头的url
4、防止用户cookie被盗可以设置cookie为http-only
CSRF,又名跨站请求伪造。通过携带目标网站前端的已登录的cookie向目标网站后端发起请求,在用户不知情的情况下盗取用户财产或信息。
防御措施:
1、因为CSRF攻击是不通过前端页面的所以可以在前端加验证码或者加token。
2、因为CSRD攻击是第三方网站发起的所以后端可以通过referer判断是不是来着正确的网址的请求。

a。。。。
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSSCSRF的实现原理和防范方法
刘炳全的博客
09-22 960
xss脚本注入 不需要你做任何的登录,它会通过合法的操作(比如:在URL中输入、在评论框中输入),向你的页面注入脚本(可能是就是、HTML代码块等)。 防御: 编码:对用户输入的数据进行HTML Entity编码,把字符串换成转义字符。Encode的作用是将$var等一些字符进行转化,使得浏览器在最终输出结果上是一样的。 过滤:移除用户输入的和事件相关的水性。 CSRF跨域请求伪造 在未退出A网站的情况下访问B,B使用A的cookie去访问服务器。 防御: token,每次用户提交表.
XSSCSRF的区别与防范
初夏0811的博客
04-22 2094
XSS即Cross-Site-Scripting,跨站脚本攻击,为了不和前端开发者中的层叠样式表(CSS)的名字冲突,故简称XSSCSRF即Cross-Site Request Forgery,跨站请求伪造。 CSRF有别于XSS,从攻击效果上,两者有重合的地方。从技术原理上看两者有本质的不同,XSS是在正常用户请求HTML页面中执行黑客提供的恶意代码;CSRF是黑客直接盗用用户浏...
前端安全防护:XSSCSRF攻防策略与实战
最新发布
zevjay的博客
04-16 795
前端安全防护是每一位开发者不容忽视的责任。通过深入理解XSSCSRF攻击原理,结合输入验证、输出编码、启用CSP、使用Anti-CSRF Tokens、配置SameSite Cookie属性和强制HTTPS等策略,我们可以有效抵御这两种常见攻击,保障用户数据安全和网站稳定性。作为博主,我将持续分享前端安全领域的知识与实践经验,助力广大开发者共建更安全的网络环境。
渗透测试-一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2277
一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
XSSCSRF的区别
weixin_42478365的博客
04-29 6112
1.CSRF CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的时候,请求网站A的api接口时,会提示你登录) (2)在不登出A的情况下,访问危险网站B(其实是利用了网站A的漏洞)。 我们在讲CSRF时,一定要
前端安全XSSCSRF攻击原理和解决方案
liushijun_的博客
06-11 3548
1、XSS(CRoss Site Scripting, 跨站脚本攻击) 这是前端最常见的攻击方式,很多大型网站(如Facebook)都被XSS攻击过。 举个例子,我在一个博客网站正常发表一篇文章,输入汉字、英文、和图片,完全没有问题。但是如果我写的是恶意的JS脚本,例如获取到document。cookie然后传输到自己的服务器上,那我这篇文章或者评论时,之前注入的这段JS代码就执行了。JS代码一旦...
跨站攻击(XSS+CSRF).docx
01-05
1. 能理解XSS注入原理; 2. 能应用Low等级、Medium等级、High级别的XSS; 3. 能理解XSS的修复。 4. 能从攻击者角度、受害者角度描述CSRF; 5. 能应用Low等级、Medium等级的CSRF实现; 6. 能摸索High级别的CSRF实现;...
5分钟科普CSRF攻击防御Web安全的第一防线
02-25
目录:一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常...
常见的网络安全攻击防御方法解析
09-22
包括sql注入、DDos攻击XSSCSRF等的攻击原理防御方法。
Web安全开发:SQL注入攻击和网页挂马.pdf
09-19
下面我们将详细介绍SQL注入攻击和网页挂马的定义、原理、类型、危害、防御方法等方面的知识点。 一、SQL注入攻击 SQL注入攻击是指攻击者通过操纵Web应用程序的输入参数,来执行恶意的SQL代码,从而获取或修改敏感...
express-mesto:项目“ Mesto”的正面和背面
04-20
安全增强功能:防御XSSCSRF攻击 第二部分:带有不同地点照片的卡片 实施的: 检索可用卡 创建和删除卡(只有创建该卡的同一用户才能删除) 放置和删除喜欢(每个人只能放置一个喜欢) 在计划中: 验证传入的...
如何防止xssCSRF攻击
I大俊
12-26 1254
浅谈CSRF(跨站请求伪造)和XSS跨站脚本攻击(Cross Site Scripting)
CSRFXSS攻击原理与防范
lbjbk的博客
09-25 358
CSRFXSS攻击原理与防范 首先呢,说一下csrf 1、概念与原理 CSRF,跨站请求伪造,攻击方伪装用户身份发送请求从而窃取信息或者破坏系统。例如: 用户访问A网站登陆并生成了cookie,再访问B网站,如果A网站存在CSRF漏洞,此时B网站给A网站的请求(此时相当于是用户访问),A网站会认为是用户发的请求,从而B网站就成功伪装了你的身份,因此叫跨站请求伪造。 2、CSRF防范 1、重要数据交互采用POST进行接收,当然是用POST也不是万能的,伪造一个form表单即可破解 2、使用验证码,只要
XSS,CSRF攻击及预防
Jiangtagong的博客
08-24 756
一、XSS 1、定义 XSS即(Cross Site Scripting)中文名称为:跨站脚本攻击; 比如在有表单输入的地方,用户输入了类似<script>alert("ok")</script>的东西,而服务器没有经过过滤就保存下来了,别的用户看到网页就会弹出提示框。当然,xss攻击还可以做其他更加复杂的事情。比如,获取cookie什么的。 XSS的重点不是在跨站点,而在于脚本的执行。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意...
HttpOnly介绍以及防止XSS攻击时的作用(转)
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
01-12 878
[url=http://www.owasp.org/index.php/HTTPOnly]介绍HttpOnly、讨论HttpOnly、以及HttpOnly与各语言的集成(Java,.Net,PHP)[/url] 转自:[url=http://netsecurity.51cto.com/art/200902/111143.htm]利用HTTP-only Cookie缓解XSS之痛[/url] ...
利用HTTP-only Cookie缓解XSS之痛
ellis2008的专栏
03-11 983
<br /> 利用HTTP-only Cookie缓解XSS之痛<br /> 在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。 <br />我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only cookie来保护敏感数据,最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。<br />一、XSS与HTT
XSS漏洞原理防御方式
GL的博客
03-07 4128
XSS漏洞 Cross Sitescript跨站脚本攻击,客户端脚本安全中的头号大敌 XSS攻击:(需要具备两个条件) 1、需要向WEB页面注入恶意代码 2、这些恶意代码能够被浏览器成功执行 XSS攻击类型: 1、反射攻击 用户输入的数据反射给浏览器,这个数据可能是Html代码或者Js代码,反射给浏览器去执行 2、存储型攻击 用户把输入的数据(比较恶意的JS代码)储存在服务器端,具有很强的稳定性,危害时间长 XSS危害: 1、 劫持Cookie,cookie一般保存了用户
xsscsrf的区别
晗的IT生活
04-09 334
XSS是什么?它的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击的主要目的则是,想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这...
XSSCSRF
sun_cainiao的博客
03-21 737
介绍两种最常见的针对 web 应用的攻击方式。 XSS (Cross-site scripting) 跨站脚本攻击 攻击者能够利用跨站脚本漏洞来绕过访问控制(access control),比如单源策略(same-origin policy)。 单源策略: 如果一个站点的内容有权限访问浏览器上的某些资源(比如 cookie),那么来自这个站点的所有内容都可以共享这些权限。 跨站点脚...
owasp 10大漏洞的原理防御措施,绕过方式
09-20
2. 跨站脚本(Cross-Site Scripting, XSS):攻击者通过插入恶意脚本代码到受信任网站中,使得用户在访问网站时受到攻击防御措施包括对用户输入进行严格过滤和编码,以及使用内容安全策略。绕过方式可能包括利用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值