前端网路与安全:XSS和CSRF的基本概念、攻击原理以及防范措施是什么?

最新推荐文章于 2024-04-16 18:29:26 发布
最新推荐文章于 2024-04-16 18:29:26 发布
阅读量435 收藏 1
点赞数
分类专栏: 网络与安全 文章标签: CSRF XSS 前端攻击
lee前端技术站
本文链接:https://blog.csdn.net/leelxp/article/details/108324833
版权

一、XSS跨站脚本攻击

攻击者想尽一切办法,将可以执行的代码注入到网页中。

1.1存储型

场景:常见于带有用户保存数据的网站功能,如论坛发帖,商品评论,用户私信等。

攻击步骤:

攻击者将恶意代码提交到目标网站的数据库中

用户打开目标网站,服务器将恶意代码从数据库取出,拼接在HTML中返回给浏览器

浏览器在收到响应后的数据解析执行,混在 其中的恶意代码同时也被执行

恶意代码窃取用户数据,并发送到指定的攻击者的网站,或者冒充用户行为,调用目标网站的接口,执行恶意操作

1.2反射型 

与存储型的区别在于存储型的恶意代码是存储在数据库中,反射型的恶意代码是在url上。

场景:url传递参数的功能,如我网站搜索,跳转等。

攻击步骤:

攻击者构造出特殊的URL,其中包含恶意代码。

用户打开带有恶意代码的URL时,网站服务器将恶意代码从URL中取出,并且拼接在html中返回给浏览器

用户浏览器接收响应后并解析执行,混在其中的恶意代码也被执行

恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定操作

1.3预防方案

防止攻击者提交恶意代码,防止浏览器执行恶意代码。

对数据进行严格的输出编码:

如对HTML元素的编码,js编码,css编码,url编码等。

避免拼接HTML,vue/react技术栈避免使用v-html/dangerouslySetInnerHtml

CSP HTTP Header,即Content-Security-Policy,X-XSS-Protection

增加攻击难度,配置CSP(本质是简历白名单,由浏览器进行拦截)

Content-Security-Policy:default-src-self,所有内容都来自同一个站点(不包括其子域名)

Content-Security-Policy:default-src-self *.trusted.com-允许内容来自信任的域名及其子域名(域名不必与SCP设置的所有域名相同)

输入验证:

比如一些常见的数字,url,电话号码,邮箱地址等等做校验判断。

开启浏览器的XSS防御,HTTP only cooki,禁止JavaScript读取敏感cookie,攻击者完成xss注入后无法窃取此cookie

验证码

二、CSRF:跨站请求伪造

攻击者诱导受害人进入第三方网站,在第三方网站中,向被攻击网站发起跨域请求,利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。

攻击流程:

受害者登录a.com并保留登录凭证

攻击者引诱受害者访问了b.com

b.com向a.com发起了一个跨域请求,a.com/xxx浏览器会默认携带a.com的cookie

a.com接收到请求后,对请求进行校验,并确认是受害者的凭证,误以为是受害者自己发起的请求

a.com以受害者的名义这行了a.com/xxx

攻击完成后,攻击者在受害者不知情的情况下,冒充受害者让a.com执行自己的操作

攻击类型:

get类型:如果在页面的某个img中发起一个get请求

post类型:通过自动提交表单到恶意网站

链接类型:需要引诱用户点击链接

预防方案:

CSRF通常通过第三方网站发起,被攻击的网站无法防止攻击发生,只能通过增强自己对网站针对CSRF的防护能力来提升安全性。

同源检测:通过header中origin header、Refer header确定,但是不同浏览器可能会有不一样得实现。

CSRF Token校验:将CSRF Token输出到页面,页面提交请求携带token,服务器校验token是否正确。

双重cookie校验:

流程:

1、在用户访问网站页面的时候,向请求域名注入一个cookie,内容为随机字符串

2、在前端向后端发起请求的时候,取出cookie,并添加到url参数中

3、后端接口验证cookie中的字段与URL参数的字段是不是一致,不一致,直接拒绝。

有点:

无需使用session,使用面广,易于实施。

token存在客户端,不会给服务器造成压力

相对于token,实施成本更低,可以在前后端统一拦截校验,而不需要一个个接口和页面添加。

缺点:

cookie中增加了额外的字段

如果有其他漏洞,攻击者可以注入cookie,该防御失效

为确保cookie传入安全,采用这种方式方式最好确保使用https方式,否则会有风险

 

samesite cookie属性:Google起草了一份草案来修改http协议,那就是set-cookie响应头新增samesite属性,他同来表面这个cookie是同站cookie,同站cookie只能作为第一方cookie,不能作为第三方cookie,samesite有俩个属性值,strict为任何倾下都不使用第三方cookie,lax为可以使用第三方cookie,但是必须为get请求。

 

 

leelxp
关注
专栏目录
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
总的来说,CSRF攻击是一种严重的网络安全威胁,需要开发者在设计Web应用考虑其防范措施。通过理解CSRF原理和实施防御策略,可以有效地保护用户数据和网站安全。在开发过程中,结合服务器端和客户端的防护手段...
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 750
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。本文将会简单介绍 XSSCSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
XSS 攻击CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 1973
XSS 攻击CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
XSSCSRF 原理和基本防御方式
接着奏乐接着舞的博客
08-10 2023
面试向:XSSCSRF 原理和基本防御方式
CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 1057
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS(跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
xss 和 crsf
08-10 315
crsf 攻击CSRF(Cross-site request forgery),中文名称:跨站请求伪造) CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此用户登录网站A...
博客:前端知识体系、前端监控、性能优化、原理探索、面经等.zip
03-01
总结,一个全面的前端开发者需要掌握广泛的技能,从基础知识到高级概念,再到监控和优化,不断探索原理,保持对新技术的关注,并能应对面试挑战。这样的前端知识体系将为开发者在快速发展的互联网行业中提供坚实的...
93道网络安全面试题PDF资料
10-14
网络安全面试题涵盖了多个关键领域的知识,包括SQL注入攻击XSS攻击CSRF攻击、文件上传漏洞和DDoS攻击,以及ARP协议的工作原理。下面将详细解释这些知识点: 1. **SQL注入攻击**:这是一种利用用户输入数据构造...
前端开发学习宝典:从入门到精通的路径规划
最新发布
04-28
2. **CSRF攻击**: - 理解跨站请求伪造攻击的特点及其防范方法。 - 实现Token验证机制保护用户会话。 3. **CORS**: - CORS(跨源资源共享)允许服务器指定哪些域可以通过AJAX请求访问其资源。 - 学习如何正确...
93道网络安全面试题目
07-20
“93道网络安全面试题目” 从给定的文件信息中,我们可以总结出以下知识点: 1. SQL 注入攻击 * 定义:攻击者在 HTTP 请求注入恶意的 SQL 代码,使服务器使用参数构建数据库 SQL 命令,恶意 SQL 被一起构造,...
CSRF防御方案
hdwlwang的博客
04-24 4800
我们也可以用自定义HTTP头的方法来防御CSRF攻击,因为虽然浏览器会阻止向外站发送自定义的HTTP头,但是允许向本站通过XMLHttpRequest的方式发送自定义HTTP头。比如,prototype.js这个JavaScript库就是使用这种方法,并且增加了 X-Requested-By头到XMLHttpRequest里面。
前端安全系列之二:如何防止CSRF攻击
javagty6778的博客
03-07 483
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击网站执行某项操作的目的。受害者登录a.com,并保留了登录凭证(Cookie)。攻击者引诱受害者访问了b.com。b.com向a.com浏览器会…a.com接收到请求后,对请求进行验证,并确认是受害者的凭证,误以为是受害者自己发送的请求
浅谈Web前端安全策略xsscsrf,及又该如何预防?
dzqxwzoe的博客
02-09 402
跨站脚本攻击,缩写为XSS(Cross Site Scripting),是利用网页的漏洞,通过某种方式给网页注入恶意代码,使用户加载网页执行注入的恶意代码。跨站请求伪造(Cross-site request forgery),也被称为或者 session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行**非本意的操作**的攻击方法。如:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求
XSS攻击CSRF攻击及其防范
Sun_blog
08-10 297
文章目录XSS攻击分类攻击方式漏洞危害防护方法CSRF攻击漏洞原理防护方法总结 XSS攻击 跨站脚本攻击,通常出现在搜索框、留言板、评论区等地方 分类 反射性、存储型、DOM型 攻击方式 构造恶意链接,诱骗用户点击盗取用户cookie信息 反射性xss: 通常这一类xss危害较低,对网站没有什么严重的影响,具体表现在用户在搜索框输入xss语句返回弹框,仅出现一次 存储型xss: 存储型对网站危害较大,用户插入xss语句后,恶意语句会存入网站数据库中,用户访问过程都会出现弹框 DOM型xss: DOM——文
前端安全防护:XSSCSRF攻防策略与实战
zevjay的博客
04-16 954
前端安全防护是每一位开发者不容忽视的责任。通过深入理解XSSCSRF攻击原理,结合输入验证、输出编码、启用CSP、使用Anti-CSRF Tokens、配置SameSite Cookie属性和强制HTTPS等策略,我们可以有效抵御这两种常见攻击,保障用户数据安全网站稳定性。作为博主,我将持续分享前端安全领域的知识与实践经验,助力广大开发者共建更安全的网络环境。
前端安全CSRFXSS该怎么防御?
椰卤工程师的个人博客
11-12 2427
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击页面注入了恶意的代码,利用恶意脚本,攻击者可以获取用户Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
前端安全问题---XSSCSRF
阳光下的冷静的博客
05-09 1215
XSS概念 XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。 XSS攻击原理原理攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、...
浅析XSSCSRF攻击及防御
koastal的博客
10-23 8149
XSS攻击CSRF攻击XSSCSRF的关系XSS防御CSRF防御总结以上介绍的攻击和防御方法都是一些基本的情况,所介绍的防御机制并不能保证绝对安全,但是应该可以防御一般的攻击情况了,我们做了这些处理总是比没做要好,不是么?
前端开发防御指南:XSSCSRF防范详解
参考资源包括Wikipedia、GraceCode等权威站点,以及专门讨论XSSCSRF防护的网站,有助于深入学习和实践前端安全防范。前端安全不仅是技术问题,更是开发者必须重视的策略和责任。了解并遵循这些原则,能够有效地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值