web安全 - xss和csrf

最新推荐文章于 2024-08-14 11:49:41 发布
最新推荐文章于 2024-08-14 11:49:41 发布
阅读量150 收藏
点赞数
文章标签: web安全 xss csrf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/javagty6778/article/details/129109310
版权
本文介绍了XSS(跨站脚本攻击)的两种类型:反射型和存储型,以及防御策略,包括内容安全策略(CSP)、HttpOnly Cookie和输入验证。同时,阐述了CSRF(跨站请求伪造)的原理和防御方法,如验证码、Referer Check和Token验证。最后给出了网络安全学习的建议和资源。
摘要由CSDN通过智能技术生成

XSS(Cross-Site Scripting) 跨站脚本攻击

跨站脚本攻击(Cross-Site Scripting, XSS)是指通过存在安全漏洞的Web网站注册用户的浏览器内运行的非法的HTML标签JavaScript进行的一种攻击。动态创建的HTML部分有可能隐藏着安全漏洞。就这样,攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,一不小心就会受到被动攻击。

XSS类型

1. 非持久型 XSS(反射型 XSS)

反射型 XSS 只是简单地把用户输入的数据 “反射” 给浏览器,这种攻击方式往往需要攻击者诱使用户点击一个恶意链接,或者提交一个表单,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。当用户点击恶意链接时,页面跳转到攻击者预先准备的页面,会发现在攻击者的页面执行了 js 脚本。攻击者可以注入任意的恶意脚本进行攻击,可能注入恶作剧脚本,或者注入能获取用户隐私数据(如cookie)的脚本,这取决于攻击者的目的。

防御策略:

  • Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。
  • 尽量不要从 URL,document.referrer,document.forms 等这种 DOM API 中获取数据直接渲染。
  • 尽量不要使用 eval
最低0.47元/天 解锁文章
哈喽沃德er
关注
XSSCSRF详解
Sylon的博客
06-24 2823
XSSCSRF详解 随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。 黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则...
前端安全
zhanzhan666666的博客
10-25 822
有哪些可能引起前端安全的问题? 跨站脚本攻击(Cross-Site Scripting,XSS):一种代码注入方式,为了与 CSS 区分所以被称为 XSS。早期常见于网络论坛,起因是网站没有对用户的输入进行严格的限制,使得攻击者可以将脚本上传到帖子让其他啊人在浏览到有恶意脚本的页面。其注入方式很简单,包括但不限于 JavaScript / VBScript / CSS / Flash 等; iframe滥用:iframe 中的内容是由第三方来提供的,默认情况下它们不受我们控制,它们可以在 iframe 中运
XSSCSRF、点击劫持、web应用安全实施
最新发布
zzz6583zz的博客
08-14 673
如果放cookie要配置上httponly和secure属性,这样就防止了xss,同时其他的同源策略要多多考虑。如果选择其他方式,就要着重考虑防止xss。必须使用csrf-token,使用cookie存储,使用httponly和secure属性。每个域名入口必须配置指定域能跨域,不能写通配符。响应的html内容必须加上csp策略(响应头和meta标签形式均可),只允许本源或指定源,配置不允许内联脚本、内联css。
web安全XSSCSRF
曾佳徐的博客
02-09 8256
XSS XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。 分为反射型和持久型 反射型 XSS代码出现在URL中,服务端解析响应后,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。 img标签 src为空 onerror 持久型 持久型也就是攻击的代码被服务端写入进数据库中,比如用户提交评论,将包含XSS代码的内容提交,然后服务端将内容保存数据库中。之后其...
web安全xsscsrf
差不少的博客
07-13 1006
web安全防御: xss : 把一些数据直接拿来用,比如url,input中输入了一些东西,请求的资源等等一些用户能自定义的一些东西 比如:在input中输入一些标签(script标签),没进行过滤或转义(转义是把它们转成实体字符) 实体字符: < 小于符号的实体字符,在页面中替换成<。 https://blog.csdn.net/weixin_49007365/article/details/118583523 注:最新 消毒api html Sanitizer API 10月18号,
Web XSSCSRF攻击原理浅谈
hopefullman的博客
02-20 721
作为一个即将放弃web开发的android来讲...对于朋友的疑问还是要给出解答... 本人也是参考了很多例子,总结一下感受,写出来便于大家理解。至于出处也请谅解。 跨站脚本攻击(Cross Site Script 为了区别于CSS 简称为 XSS)指的是恶意攻击者往Web页面里插入恶意js代码,当用户浏览该页之时,嵌入Web的代码会被执行,从而达到特殊目的。 因为我们完全信任了用户输入,...
前端安全问题---XSSCSRF
阳光下的冷静的博客
05-09 1214
XSS概念 XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。 XSS的攻击原理 其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、...
[Web安全] xss&CSRF漏洞初探
qq_42551635的博客
09-06 786
[Web安全] xss&CSRF漏洞初探 正文|xss简介 现代网站往往会包含大量的动态内容,动态内容是指web应用程序根据用户环境和需要来输出相关内容。跨站脚本攻击(cross site scripting)是一种针对网站应用程序的安全漏洞利用技术,是代码注入漏洞的一种,它使得攻击者可以通过巧妙地方法向网页中注入恶意代码,用户浏览器在加载网页、渲染html文档时就会执行攻击者的恶意代码,攻击成功后,攻击者可能得到很高的权限,获取私密网页内容、会话、cookie等敏感信息。XSS可以理解为在用户
渗透测试 2 --- XSSCSRF、文件上传、文件包含、反序列化漏洞
墨鱼菜鸡
07-11 3176
1、渗透测试 实用 浏览器插件 chrome、edge 插件:搜索 cookie,安装 cookie editor,打开插件,可以 导出 cookie HackBar :Hackbar是网络安全学习者常备的工具 (https://www.fujieace.com/hacker/tools/hackbar.html )。 ​解决Firefox插件-H...
Web 安全XSSCSRF
技术小屋
04-08 284
前言 目前web安全问题主要有下面几个: XSS漏洞 CSRF漏洞 XSS 跨站脚本攻击(Cross Site Scripting),攻击者往 Web 页面插入恶意的 Script 脚本代码,当用户访问页面的时候,嵌入的脚本代码就会执行,这样,攻击者可以通过 Script 脚本代码获取用户的 cookie 等信息,模拟用户的请求等达到攻击目的。 XSS 分类 存储型:X...
深入了解一下XSSCSRF
linjingyg的博客
11-11 419
一、XSS xss,即 Cross Site Script,中翻译是跨站脚本攻击;其原本缩写是 CSS,但为了和前端内的层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 X
Web安全CSRFXSS
daisy_li123的博客
02-07 4897
实验原理: CSRF(Cross-Site Request Forgery,跨站点伪造请求)是一种网络攻击方式,该攻击可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击站点,从而在未授权的情况下执行在权限保护之下的操作,具有很大的危害性。具体来讲,可以这样理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作
XSS漏洞的绕过策略
weixin_51313108的博客
08-17 1089
XSS漏洞的绕过策略防绕过语句绕过js代码显示在属性内大写绕过双写关键字javascript特殊事件javascript特殊事件 防绕过语句 htmlspecialchars()语句可以将<>等敏感字符改动为html字符实体,用于变量的处理上。 绕过 首先要明白一点写入的JS代码要在浏览器上成功执行尽量要在标签之间 js代码显示在属性内 '><script>alert(1)</script>//:闭合标签 大写绕过 猜测后端如果只是简单的利用 ,str_replac
客户端安全之跨站脚本(XSS)
好记性不如烂笔头
10-14 854
1. 什么是XSS? 2. XSS的原理 3. XSS的分类 3.1 反射型XSS 恶意脚本是来自当前的request,这类XSS称为反射型XSS,下面是个简单的例子。 https://insecure-website.com/status?message=All+is+well. <p>Status: All is well.</p> 应用并没有对数据做任何处理,这样,就可以构造攻击,如下: https://insecure-website.com/status?messag
xss知识点总结
weixin_45498459的博客
03-17 292
<script> alert(弹窗的值);</script> <script src="http://<yourVPS>/xss.js"></script>asd 在php中单引号中的变量是不被解析的,双引号中的变量和数组及常量是可以被解析的。 on事件大全 onactivate 当对象设置为活动元素时触发。 onafterprint 对象所关联的文档打印或打印预览后立即在对象上触发。 onbeforeactivate 对象要被设置..
WEB安全漏洞30讲》(第3讲)XSS漏洞
午夜安全
12-04 592
XSS(Cross-site Scripting)跨站脚本,它是代码注入的一种,指的是攻击者在页面注入恶意的脚本代码,其他用户在浏览网页时就会受到影响。恶意用户利用XSS代码攻击成功后,可以盗取用户的Cookie,获取用户的网页内容、破坏页面结构、重定向到其它网站等。XSS一般可以分为: 反射型、存储型和DOM 型XSS。反射型XSS又称非持久型XSS,这种方式往往具有一次性。攻击者需要想办法将包含XSS代码的恶意链接发送给目标用户并且诱惑用户点击该链接,当用户点击后会向服务器发送请求,服务器接收到请求后把
XSS 跨站脚本漏洞总结(知识点+实例)
叶子的Blog
10-24 2123
XSS 简介 XSS,全称Cross Site Scripting,即跨站脚本攻击,是最普遍的Web应用安全漏洞。这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻击用户的目的。需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据攻击代码的工作方式,XSS可以分为反射型的XSS、存储型的XSS和DOM型的XSS。 反射型 反射型的XSS是非持久化的,攻击者事先制作好攻击链接,需要
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值