如何预防 XSS 攻击 和 XSRF 攻击

最新推荐文章于 2023-10-12 09:15:00 发布
最新推荐文章于 2023-10-12 09:15:00 发布
阅读量608 收藏 2
点赞数
文章标签: 服务器 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lq_1999/article/details/122498686
版权

常见的 web 前端攻击方式有哪些

  • XSS 跨站请求攻击

  • XSRF 跨站请求伪造

XSS攻击举例

  • 一个博客网站(请访问正规网站,放心,CSDN应该是安全的),作者发表了一篇博客,其中嵌入了<script> 脚本
  • 脚本内容:获取 cookie,发送到作者的服务器(设置服务器配合跨域)
  • 发布这篇博客,有人查看他,作者轻松收割访问者的 cookie
<script>
    alert(document.cookie)
</script>

XSS预防

预防工作的实施者是:网站的开发人员

  • 替换特殊字符,如 < 变为 &lt; > 变为 &gt;
  • <script> 就变成了&lt;script&gt; ,直接作为文本显示(浏览器会自动转义显示<script>),而不会作为文本执行
  • 前端要替换,后端也要替换,都做总不会有错

开发者做字符转义工作可以利用npm的一个工具 xss - npm (npmjs.com)

XSRF 攻击

场景举例(简单举例,有的老)

  • 你正在访问购物网站,看中了某个商品,商品 id 是100
  • 付费接口是 xxx.com/pay?id=100,但没有任何验证(登录状态,购物网站服务器已经验证过个人信息,点击即可购买)
  • 攻击者看中了一个商品,id是200
  • 攻击者给你发送了一封电子邮件,邮件标题很吸引人
  • 但邮件正文隐藏着<img src=xxx.com/pay?id=200>         注意!!<img>是支持跨域的
  • 你一查看邮件,就帮忙购买了 id=200 的商品         购物网站处于登录状态,个人信息是在的。也不一定是帮他买,总归是给购物网站增加了营业额

预防XSRF攻击

  • 使用 post 接口 (post方式下,img 进行跨域是需要服务端支持的)
  • 增加验证方式,密码验证、指纹认证、人脸识别等
lq_1999
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XSSF和SXSSF的区别
qq_49194786的博客
07-14 2445
xssf和sxssf的比较
XSS 攻击的实现
weixin_58207509的博客
12-10 645
XSS攻击 人们经常将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSSXSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后
HSSF、XSSF、SXSSF、对Excel的区别,以及对应不同后缀名Excel(xls,xlsx)的使用
fanqingdi092298的博客
11-10 4782
POI提供了HSSF、XSSF以及SXSSF三种方式操作Excel。他们的区别如下: HSSF:是操作Excel97-2003版本,扩展名为.xls。 XSSF:是操作Excel2007版本开始,扩展名为.xlsx。 SXSSF:是在XSSF基础上,POI3.8版本开始提供的一种支持低内存占用的操作方式,扩展名为.xlsx。 其次,大家需要了解下Excel不同版本的一些区别,这些限制其实间接的局限了POI提供的API功能。 1、支持的行数、列数 Excel97-2003版本,一个sheet最大行数65536
HSSFSheet XSSFWorkbook SXSSF Java读取Excel数据
weixin_30551947的博客
08-09 847
HSSF是POI工程对Excel 97(-2007)文件操作的纯Java实现XSSF是POI工程对Excel 2007 OOXML (.xlsx)文件操作的纯Java实现 SXSSF通过一个滑动窗口来限制访问Row的数量从而达到低内存占用的目录,XSSF可以访问所有行。旧的行数据不再出现在滑动窗口中并变得无法访问,与此同时写到磁盘上。在自动刷新的模式下,可以指定窗口中访问Row的数量,从而...
注意安全!XSSXSRF
weixin_33696822的博客
05-15 117
[Tips] 本文是从 jianshu 平台重新修改编辑后移植来的,比上一版本做了些修订。最近在看一些关于网络安全的问题,当然许多是跟前端相关的,包括且不局限于xssxsrf 了,那么小编就结合最近的学习实践谈一些粗浅的认识。(\(^o^)/,我是一个喜欢做实验的家伙)XSS (Cross Site Script)跨站脚本攻击XSS 意思就是跨站脚本攻击。这里面也涉及到跨域的问题,特别是在后面...
前端XSSXSRF攻击与防范
JimmyLLLin的博客
03-02 402
XSS攻击:只要输入的JS在页面中以不符合开发者的预期进行运行都属于XSS攻击。例如:文本框输入、URL输入等 XSS攻击防范: 1.通过转义来解决,使得<script>的"<"或">"转义为其它符号,显示时再由其它符号变回原状。 2.XSS攻击很大程度上是为了获取cookie以盗取登录状态,可以在服务端设置cookie参数http-only使得客户端无法读取cookie...
springboot后端实现防御xSRF攻击的策略代码.zip
02-10
本包中,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
web攻击技术与防护
01-26
【跨站脚本攻击XSS)】 ...攻击者通常通过创建含有恶意脚本的网页内容,诱导用户访问,从而在用户的浏览器环境中执行...通过以上介绍的XSSXSRF攻击及防御策略,开发者可以更好地保护他们的Web应用程序免受此类威胁。
5分钟科普CSRF攻击与防御,Web安全的第一防线
02-25
一、CSRF介绍二、CSRF攻击的危害三、CSRF攻击原理及过程四、CSRF漏洞检测五、CSRF漏洞预防六、最后聊聊xssCSRF(Cross-siterequestforgery)跨站请求伪造,也被称为“OneClickAttack”或者SessionRiding,通常缩写为...
xssfilter:适用于Symphony CMS中事件的XSS筛选器
05-13
在表单提交中保护自己免受XSSXSRF攻击。 安装 将xssfilter文件夹放在Symphony extensions目录中。 转到“系统”>“扩展” ,选择“跨站点脚本(XSS)筛选器”,从选中的菜单中选择“启用”,然后单击“应用”。 ...
存储型XSS和CSRF联合漏洞利用(CVE-2017-9064 CVE-2019-16117 )
FODKING的博客
11-29 2933
CVE-2019-16117(XSS) 实验环境: 软件版本:wordpress-5.2.2 插件版本:photo-gallery.1.5.34 实验原理: 攻击者在页面插入xss代码,服务端将数据存入数据库,当用户访问存在xss漏洞的页面时,服务端从数据库取出数据展示到页面上,导致xss代码执行,达到攻击效果. 实验场景: 只要用户点击了存在XSS代码的网页就会弹出数据,或者点击了构建的图片也会构成XSS攻击。 漏洞复现: 插件下载:Photo Gallery by 10Web – Mobile-Frie
说说 XSRF 防范
weixin_34087301的博客
09-17 212
这是我在知乎的一个回答。原提问是如何在单页应用下进行 XSRF 防护。 XSRF(CSRF) 攻击的原理是什么?就是攻击者能猜测出所有的需要提交的内容以及类型,所以所有的解决方案共同出发点就是加一个攻击者也不知道随机值发送给后端验证就可以防范。 有很多解决方案,cookie-session,很不友好的所有表单都得填写验证码,还有一种很少...
前端安全之XSSXSRF攻击,及其解决方案
qq_38361229的博客
12-13 697
XSS和CSRF攻击,及其解决方案
常见的漏洞以及渗透工具使用
莫黎小天
09-14 1193
一、渗透工具 一、sqlmap 1.判断是否存在注入 假设目标注入点是http://192.168.1.104/sql1/Less-1/?id=11 判断命令 sqlmap.py-u http://192.168.1.104/sql1/Less-1/?id=1 还有一种情况,当注入点后面的参数大于等于两个时,需要加双引号,如下所示。 sqlmap.py-u"http://192.168.1.104/sql1/Less-1/?id=1&uid=2" 2.判断文本中的请求是否存在注入 从文件中加载HTT
XSRF攻击与防范
dingbenji5337的博客
12-27 359
官方定义 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而XSRF则通过伪装来自受信任用户的请求来利用...
CSRF漏洞原理攻击与防御(非常细)
最新发布
m0_61869253的博客
10-12 3351
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
网络攻击——CSRF攻击
PUIWAH的博客
03-24 1308
CSRF攻击 CSRF全称是跨站请求伪造(cross site request forgery),CSRF伪装受信任用户,向第三方平台发送恶意请求。 CRSF能做的事情包括利用你的身份发邮件,发短信,进行交易转账,甚至盗取账号信息。 一个典型的CSRF攻击有着如下的流程: 受害者登录 a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了 b.com。 b.com 向 a.com ...
「安全系列之CSRF」如何防范csrf攻击
qq_35789269的博客
04-07 3994
背景 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。 前端安全 近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大
前端知识】浅谈XSS和CSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1544
前端知识】浅谈XSS和CSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击XSS)、跨站点请求伪造攻击(CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击和CSRF攻击
Juyere安全程序攻击实验指南:Web安全实践
通过Juyere平台,学生可以在受控环境中模拟这些攻击,理解它们的工作原理,并学习如何预防和防御。实验分为四个部分,逐步引导学生从基础到高级的安全实践,包括环境部署、漏洞利用及防护措施的实施。实验工具箱可能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值