前端网路与安全:XSS和CSRF的基本概念、攻击原理以及防范措施是什么?

最新推荐文章于 2023-03-07 17:00:00 发布
最新推荐文章于 2023-03-07 17:00:00 发布
阅读量436 收藏 1
点赞数
分类专栏: 网络与安全 文章标签: CSRF XSS 前端攻击
lee前端技术站
本文链接:https://blog.csdn.net/leelxp/article/details/108324833
版权

一、XSS跨站脚本攻击

攻击者想尽一切办法,将可以执行的代码注入到网页中。

1.1存储型

场景:常见于带有用户保存数据的网站功能,如论坛发帖,商品评论,用户私信等。

攻击步骤:

攻击者将恶意代码提交到目标网站的数据库中

用户打开目标网站,服务器将恶意代码从数据库取出,拼接在HTML中返回给浏览器

浏览器在收到响应后的数据解析执行,混在 其中的恶意代码同时也被执行

恶意代码窃取用户数据,并发送到指定的攻击者的网站,或者冒充用户行为,调用目标网站的接口,执行恶意操作

1.2反射型 

与存储型的区别在于存储型的恶意代码是存储在数据库中,反射型的恶意代码是在url上。

场景:url传递参数的功能,如我网站搜索,跳转等。

攻击步骤:

攻击者构造出特殊的URL,其中包含恶意代码。

用户打开带有恶意代码的URL时,网站服务器将恶意代码从URL中取出,并且拼接在html中返回给浏览器

用户浏览器接收响应后并解析执行,混在其中的恶意代码也被执行

恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定操作

1.3预防方案

防止攻击者提交恶意代码,防止浏览器执行恶意代码。

对数据进行严格的输出编码:

如对HTML元素的编码,js编码,css编码,url编码等。

避免拼接HTML,vue/react技术栈避免使用v-html/dangerouslySetInnerHtml

CSP HTTP Header,即Content-Security-Policy,X-XSS-Protection

增加攻击难度,配置CSP(本质是简历白名单,由浏览器进行拦截)

Content-Security-Policy:default-src-self,所有内容都来自同一个站点(不包括其子域名)

Content-Security-Policy:default-src-self *.trusted.com-允许内容来自信任的域名及其子域名(域名不必与SCP设置的所有域名相同)

输入验证:

比如一些常见的数字,url,电话号码,邮箱地址等等做校验判断。

开启浏览器的XSS防御,HTTP only cooki,禁止JavaScript读取敏感cookie,攻击者完成xss注入后无法窃取此cookie

验证码

二、CSRF:跨站请求伪造

攻击者诱导受害人进入第三方网站,在第三方网站中,向被攻击网站发起跨域请求,利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。

攻击流程:

受害者登录a.com并保留登录凭证

攻击者引诱受害者访问了b.com

b.com向a.com发起了一个跨域请求,a.com/xxx浏览器会默认携带a.com的cookie

a.com接收到请求后,对请求进行校验,并确认是受害者的凭证,误以为是受害者自己发起的请求

a.com以受害者的名义这行了a.com/xxx

攻击完成后,攻击者在受害者不知情的情况下,冒充受害者让a.com执行自己的操作

攻击类型:

get类型:如果在页面的某个img中发起一个get请求

post类型:通过自动提交表单到恶意网站

链接类型:需要引诱用户点击链接

预防方案:

CSRF通常通过第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己对网站针对CSRF的防护能力来提升安全性。

同源检测:通过header中origin header、Refer header确定,但是不同浏览器可能会有不一样得实现。

CSRF Token校验:将CSRF Token输出到页面,页面提交请求携带token,服务器校验token是否正确。

双重cookie校验:

流程:

1、在用户访问网站页面的时候,向请求域名注入一个cookie,内容为随机字符串

2、在前端向后端发起请求的时候,取出cookie,并添加到url参数中

3、后端接口验证cookie中的字段与URL参数的字段是不是一致,不一致,直接拒绝。

有点:

无需使用session,使用面广,易于实施。

token存在客户端,不会给服务器造成压力

相对于token,实施成本更低,可以在前后端统一拦截校验,而不需要一个个接口和页面添加。

缺点:

cookie中增加了额外的字段

如果有其他漏洞,攻击者可以注入cookie,该防御失效

为确保cookie传入安全,采用这种方式方式最好确保使用https方式,否则会有风险

 

samesite cookie属性:Google起草了一份草案来修改http协议,那就是set-cookie响应头新增samesite属性,他同来表面这个cookie是同站cookie,同站cookie只能作为第一方cookie,不能作为第三方cookie,samesite有俩个属性值,strict为任何倾下都不使用第三方cookie,lax为可以使用第三方cookie,但是必须为get请求。

 

 

leelxp
关注
专栏目录
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 1061
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
理解XSSCSRF攻击防范措施
Delicia_Lani的博客
07-22 730
一,XSS理解: 比如在一个论坛中,发帖写一段拥有跨站请求功能的JavaScript脚本注入到一条帖子里,该JS代码有请求服务器的操作,然后有用户访问了这个帖子,这就算是中了XSS攻击了。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有也会包含 HTML 和 Flash。有很多种方式进行 XSS 攻击,但它们的共同点为:将一些隐私数据像 cookie、session 发送...
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 752
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。本文将会简单介绍 XSSCSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
CSRFXSS攻击原理与防范
weixin_33725239的博客
12-27 159
CSRF 1、概念与原理 CSRF,跨站请求伪造,攻击方伪装用户身份发送请求从而窃取信息或者破坏系统。例如: 用户访问A网站登陆并生成了cookie,再访问B网站,如果A网站存在CSRF漏洞,此B网站给A网站请求(此相当于是用户访问),A网站会认为是用户发的请求,从而B网站就成功伪装了你的身份,因此叫跨站请求伪造。 2、CSRF防范 1、重要数据交互采用POST进行接收,当然是用P...
浅谈Web前端安全策略xsscsrf,及又该如何预防?
moandaylab
05-28 1643
Web前端安全策略xsscsrf攻击和防御一、XSS跨站请求攻击1、什么是XSS2、场景模拟3、XSS攻击类型4、如何防御XSS二、XSRF跨站请求伪造1、什么是csrf2、场景模拟(1)场景一(2)场景二3、CSRF的特点4、CSRF攻击方式5、CSRF常见的攻击类型6、如何防御csrf三、CSRFXSS 区别四、结束语 随着前端技术的不断革新,前端早已不再是简简单单的做页面了。现在的前端网站上会涉及到大量用户的数据和隐私,那这些用户数据安全吗?答案并不是肯定的。因此,这个前端安全就显得尤为
xss 和 crsf
08-10 316
crsf 攻击CSRF(Cross-site request forgery),中文名称:跨站请求伪造) CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此用户登录网站A...
前端安全防护:XSSCSRF攻击防范
前端安全主要涉及用户输入数据的合法性验证、前端代码的安全编写、跨站脚本攻击XSS)和跨站请求伪造(CSRF)等网络攻击的防范。 ## 1.2 前端安全的重要性 在Web开发中,前端用户网站交互的窗口,承载着大量...
前端开发防御指南:XSSCSRF防范详解
参考资源包括Wikipedia、GraceCode等权威站点,以及专门讨论XSSCSRF防护的网站,有助于深入学习和实践前端安全防范。前端安全不仅是技术问题,更是开发者必须重视的策略和责任。了解并遵循这些原则,能够有效地...
前端安全XSSCSRF 防范方法
XSS攻击原理和危害 XSS(Cross Site Scripting)跨站脚本攻击是一种常见的Web安全漏洞,攻击者通过在Web页面注入恶意脚本,使得用户在浏览页面执行这些恶意脚本,进而达到攻击的目的。XSS攻击通常存在于Web...
前端安全防护指南:XSSCSRF、CORS
前端安全是指保护前端应用程序和用户数据不受恶意攻击和非法访问的一系列措施和技术。前端安全涉及到用户交互的界面、浏览器端的脚本以及与后端的数据交换等方面。 ## 1.2 前端安全的重要性 在当今互联网代,...
XSSCSRF 原理和基本防御方式
接着奏乐接着舞的博客
08-10 2028
面试向:XSSCSRF 原理和基本防御方式
XSS攻击CSRF攻击及其防范
Sun_blog
08-10 299
文章目录XSS攻击分类攻击方式漏洞危害防护方法CSRF攻击漏洞原理防护方法总结 XSS攻击 跨站脚本攻击,通常出现在搜索框、留言板、评论区等地方 分类 反射性、存储型、DOM型 攻击方式 构造恶意链接,诱骗用户点击盗取用户cookie信息 反射性xss: 通常这一类xss危害较低,对网站没有什么严重的影响,具体表现在用户在搜索框输入xss语句返回弹框,仅出现一次 存储型xss: 存储型对网站危害较大,用户插入xss语句后,恶意语句会存入网站数据库中,用户访问过程都会出现弹框 DOM型xss: DOM——文
前端安全知识(XSSCSRF
野生松
02-12 345
一、XSS(跨站脚本攻击xss:跨站脚本攻击(Cross Site Scripting)是最常见和基本的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 javascript 代码,从而当用户浏览该网页,控制用户浏览器。 1、常见的攻击方式 在输入框输入恶意代码(例如评论) 劫持用户cookie 2、防御方式 httpOnly: 在 cookie 中设置 Http...
CSRF 攻击原理防范措施
chengqiang20152015的博客
07-19 1546
CSRF攻击示意图 客户端访问服务器没有同服务器做安全验证 一、攻击原理: 此网站A在接收到请求之后已经判断当前用户是登录状态,所以恶意网站就可以根据用户的权限做具体的恶意操作了,造成网站攻击成功。 而攻击网站B在访问网站A的候,浏览器会自动带上网站A的cookie 用户C再访问攻击网站B,网站B上有某个隐藏的链接或者图片标签会自动请求网站A的URL地址,例如表单提交,传指...
XSS 攻击CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 1976
XSS 攻击CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
前端安全系列之二:如何防止CSRF攻击
最新发布
javagty6778的博客
03-07 485
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求
前端安全CSRFXSS该怎么防御?
椰卤工程师的个人博客
11-12 2432
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击页面注入了恶意的代码,利用恶意脚本,攻击者可以获取用户Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
关于前端安全XSSCSRF攻击
欢迎来到燕子的博客!
01-07 259
这里的很多是参考了一些博文而整理归纳的。 https://blog.csdn.net/liushijun_/article/details/91410976 https://segmentfault.com/a/1190000016551188 对于前端页面有一定的独特性,比如我们经常有这种经历就是直接打开一个页面console面板直接在console里面就可以执行你的js代码就可以了。在这里就...
前端安全问题---XSSCSRF
阳光下的冷静的博客
05-09 1218
XSS概念 XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。 XSS攻击原理原理攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值