本文详细探讨了XSS跨站脚本攻击、CSRF跨站请求伪造和XSRF跨站请求伪造的原理、分类及实战案例。学习了如何通过前端代码防御,如字符替换和接口验证,以及后端的POST请求和额外身份验证措施。同时,还涉及HTTP劫持与页面劫持的原理与防护方法。
1.XSS攻击的原理、分类、具体案例,前端如何防御
xss跨站请求攻击
- 博客网站,写啦一篇博客,其中嵌入
xss防御
- 替换特殊字符,如<变为< >变为>
xss工具
2.XSRF攻击的原理、分类、具体案例,前端如何防御
XSRF攻击1
- 你正在购物,看中啦某个商品,商品id是100
- 付费接口是xxx.com/pay?id=100,但没有任何验证
- 我是攻击者,我看中啦一个商品,id是100
- 我向你发送一封电子邮件,邮件标题很吸引人
- 但邮件正文隐藏着<img src=xxx.com/pay?id=200/>
- 你一查看邮件,就帮我购买id是200的商品
- img支持跨域,在软件里面带有用户cookie
XSRF防御
- 使用post接口(img不能使用post请求)
- 增加验证,例如密码、短信验证码、指纹等
3.CSRF攻击的原理、具体案例,前端如何防御
- 跨站请求伪造
4.HTTP劫持、页面劫持的原理、防御措施
HTTP劫持
- 在用户的客户端与其要访问的服务器经过网络协议协调后,二者之间建立了一条专用的数据通道,用户端程序在系统中开放指定网络端口用于接受数据报文,服务器端将全部数据按指定网络协议规则进行分解打包,形成连续数据报文。
在用户的浏览器连上被访问的网站服务器,发送了HTTP请求后,运营商的路由器会首先收到此次HTTP请求,之后运营商路由器的旁路设备标记此TCP连接为HTTP协议,之后可以抢在网站服务器返回数据之前发送HTTP协议的302代码进行下载软件的劫持,浏览器收到302代码后就会跳转到错误的软件下载地址下载软件了,随后网站服务器的真正数据到达后反而会被丢弃。或者,旁路设备在标记此TCP连接为HTTP协议后,直接返回修改后的HTML代码,导致浏览器中被插入了运营商的广告,随后网站服务器的真正数据到达后最终也是被丢弃。
扫一扫
1254
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
