面试题之跨域攻击

最新推荐文章于 2024-03-03 13:30:00 发布
最新推荐文章于 2024-03-03 13:30:00 发布
阅读量124 收藏
点赞数
分类专栏: 面试 文章标签: 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/killbee365/article/details/106108977
版权

参考文章:
XSS跨域脚本攻击
浅谈CSRF攻击-跨域攻击
XSS攻击与CSRF攻击比较

马三立小品〈逗你玩〉中的小偷就利用xss突破了防盗系统。

防盗系统启动: 妈妈:给我看着衣服 小孩:好的

小偷来

正常工作: 小孩:你是谁? 小偷:我叫张三 小孩:妈妈,有人偷衣服 妈妈:谁? 小孩:张三 小偷被捉

漏洞: 小孩:你是谁? 小偷:我叫逗你玩 小孩:妈妈,有人偷衣服 妈妈:谁? 小孩:逗你玩 妈妈:。。。

csrf是让用户在不知情的情况,冒用其身份发起了一个请求
小偷:你妈妈喊你去买洗衣粉

补充一下,XSS本质是Html注入,和SQL注入差不多。

SQL、Html、人类语言都是指令和数据混在一起,都存在注入风险(程序根据分隔符、标签识别指令和数据,人类则是根据语境、语义和日常经验判断)。

比如注册用户时,用户输入“张三”并提交,服务端会生成“ <p>欢迎新用户,张三</p> ”传给浏览器。
如果用户输入"<script>alert('逗你玩')<script>",服务端会生成 “<p>欢迎新用户,<script>alert('逗你玩')<script></p>”,
输入内容就会被浏览器识别为指令执行,这就是XSS注入;

小偷也是根据这个原理,输入一个有特殊语义的名字,被其他客户端识别为指令,从而完成了一次漂亮的存储型XSS注入攻击。
文鼎鼎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java开发面试目,java后端解决方案,看完跪了
m0_59183028的博客
06-22 324
1、为什么要使用消息队列? 分析:一个用消息队列的人,不知道为啥用,有点尴尬。没有复习这点,很容易被问蒙,然后就开始胡扯了。 回答:这个问,咱只答三个最主要的应用场景(不可否认还有其他的,但是只答三个主要的),即以下六个字:解耦、异步、削峰 (1)解耦 传统模式: 传统模式的缺点: 系统间耦合性太强,如上图所示,系统A在代码中直接调用系统B和系统C的代码,如果将来D系统接入,系统A还需要修改代码,过于麻烦! 中间件模式: 中间件模式的的优点: 将消息写入消息队列,需要消息的系统自己从消息队列中订
前端面试必备之同源和详解
09-22
是由浏览器的同源策略引起的,是指页面请求的url地址,必须与浏览器上url地址处于同上(即名,端口,协议相同),下面这篇文章就来给大家介绍了关于前端面试必备之同源和的相关资料,文中通过示例代码...
JavaEE-面试-
billycoder的专栏
03-24 947
1,是前端工程师必备的技能点,后端开发人员也需要知道。 2,本篇博客提供基本的思路,面试的时候可以参考的一个思路。 什么是 协议、名、端口任意不同,就是不同。 什么是 浏览器为了安全,对js进行访问资源的时候做了一些限定。 js可以通过请求返回一个js。 js不能请求json数据,但是这个在分布式系统是非常常见的需求。 怎么解决 解决方案好...
java面试浏览器兼容_[Java面试十]浏览器.
weixin_42110533的博客
02-13 81
json相信大家都用的多,jsonp我就一直没有机会用到,但也经常看到,只知道是“用来的”,一直不知道具体是个什么东西。今天总算搞明白了。下面一步步来搞清楚jsonp是个什么玩意。同源策略首先基于安全的原因,浏览器是存在这个机制的,同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。看起来不知道什么意思,实践一下就知道了。1.随便建两个网页一个端口是2698,一个2701,...
java面试(基础、Tomcat、请求)
weixin_43889487的博客
11-25 201
1、Tomcat中为什么要使用自定义类加载器 一个Tomcat中可以部署多个应用,而每个应用中都存在很多类,并且各个应用中的类是独立的,全类名是可以相同的,比如一个订单系统中可能存在com.zhouyu.User类,一个库存系统中可能也存在com.zhouyu.User类,一个Tomcat,不管内部部署了多少应用,Tomcat启动之后就是一个Java进程,也就是一个JVM,所以如果Tomcat中只存在一个类加载器,比如默认的AppClassLoader,那么就只能加载一个com.zhouyu.User类,这
java后台详解
weixin_41772066的博客
09-20 375
背景 什么是 通俗的说,我们平常上网浏览的网址 列:https://www.baidu.com 就是一个。也可以称为源。 要满足这个需要三个条件: 协议 有常用的 http超文本传输协议 https协议 ftp文件传输协议(我们这儿只说http与https) http协议介绍与 https区别介绍 名就是用来唯一标示互联网上的服务器的,当我们访问一个网站时候,比如百度名:...
XSS攻击讲义
08-19
网络安全 XSS攻击 JS注入 互联网安全
前端开发面试.html
03-30
非常全面的前端开发面试: HTML&CSS;: 对Web标准的理解(结构、表现、行为)、浏览器内核、渲染原理、依赖管理、兼容性、CSS语法、层次关系,常用属性、布局、选择器、权重、盒模型、 Hack、CSS预处理器、CSS3...
前端安全之XSS攻击
02-25
XSS(cross-sitescripting脚本攻击攻击是最常见的Web攻击,其重点是“”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-...
「JavaScript」JS四种方式详解
04-04
浏览器都有一个同源策略,其限制之一就是第一种方法中我们说的不能通过ajax的方法去请求不同源中的文档。 它的第二个限制是浏览器中不同的框架之间是不能进行js的交互操作的。 三、使用window.name来进行 ...
Java的处理详解
qq_17782389的博客
11-21 330
1,JavaScript由于安全性方面的考虑,不允许页面调用其他页面的对象,那么问来了,什么是? 答:这是由于浏览器同源策略的限制,现在所有支持JavaScript的浏览器都使用了这个策略。那么什么是同源呢?所谓的同源是指三个方面“相同”: 1,名相同 2,协议相同 3,端口相同 2,下面就举几个例子来帮助更好的理解同源策略。 URL 说明 是否允许通信 http://www.a....
转载 处理
西北的博客
12-31 331
转载:https://blog.csdn.net/qq_38128179/article/details/84956552 一、为什么会出现 出于浏览器的同源策略限制。同源策略(Sameoriginpolicy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。同...
JAVA解决办法
weixin_39368344的博客
07-26 500
SpringBoot + VUE前后端分离解决办法 由于最近刚好做了前后端分离项目,困扰了好久,网上也没有找到很全面很详细的解决方法,所以在这里整理一下最近做的项目遇到及解决思路。 这里贴一个慕课网上的免费课程:https://www.imooc.com/learn/947 里面详细的讲了的原因和解决思路 VUE 需要提交cookie的请求,axios...
网安面试 2:CSRF和XSS
Forget_liu的博客
04-15 236
面试中的安全问,明确来说,就两个方面:CSRF:基本概念、攻击方式、防御措施XSS:基本概念、攻击方式、防御措施这两个问,一般不会问太难。有人问:SQL注入算吗?答案:这个其实跟前端的关系不是很大。
安全服务面试(XSS&文件上传)
qq_56895879的博客
02-27 580
所以黑盒怎么测试妮?先传一个正常图片,然后看看这个地方上传是否有用,然后再传一个jpg后缀的图片马,看看对内容会不会检测,然后再尝试改包,看看是不是前端验证,然后尝试下看看是黑名单还是白名单机制,然后最后尝试条件竞争。当然需要信息收集,信息收集中对web容器和用的动态语言和动态语言版本对文件上传非常有用,一个ASP的站,你传一个PHP的马,如果说没有特殊设置,那么这个马是不可能执行(但是有些情况下,他设置了解析,也是可以解析的)然后web容器也会存在一些解析漏洞,如iis6.0畸形解析、CGI解析漏洞。
彻底理解前端安全面试(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
Karka_的博客
03-03 1219
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
xss相关【面试
anan的博客
12-16 9955
xss面试
面试之XSS攻击
qq_39581763的博客
05-14 715
XSS脚本攻击原理无需登录认证,核心原理就是向你的页面注入脚本。1、反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。2、存储型:存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。(例如:常见的评论,在文本框中输入一段代码,那么就会存放在数据库当中,当再次加载的时候便会执行这样的代码)。常见的场景留言、评论、注册、
2024 前端面试
最新发布
03-26
2024年前端面试的具体内容我无法预测,因为技术的发展是非常迅速的,未来几年前端领可能会有新的技术和框架出现。但是,我可以给你介绍一些目前比较常见的前端面试,供你参考: 1. HTML/CSS基础:包括HTML...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值