同源策略、XSS、CSRF

最新推荐文章于 2024-04-14 01:19:22 发布
最新推荐文章于 2024-04-14 01:19:22 发布
阅读量593 收藏 4
点赞数 1
分类专栏: web安全学习之路 文章标签: csrf 安全 web xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luluoluoa/article/details/116012487
版权
本文深入探讨了Web安全中的关键概念:同源策略、XSS和CSRF。同源策略是浏览器的安全策略,限制不同源之间的数据交互以防止CSRF攻击。XSS是跨站脚本攻击,通过注入恶意脚本威胁用户信息安全。而CSRF则是一种利用用户Cookie进行非授权操作的攻击方式。了解这些原理对于提高Web应用的安全性至关重要。
摘要由CSDN通过智能技术生成

同源策略

同源:两个页面(接口)的协议、域名、端口号都相同

 同源策略就是浏览器的一个安全策略,它阻止了不同源之间进行的数据交互,不然其它网站的js脚本如果可以控制本网站就麻烦了。不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略其实就是为了防止csrf的。

但是嵌入到页面中的<script src="..."></script>,<img>,<link>,<iframe>是没有限制的,会导致csrf攻击

XSS

XSS(cross site scripting),跨站脚本攻击,因缩写与css冲突,所以改作xss。

恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。

大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。任何输入提交数据的地方都有可能存在 XSS。

xss分为反射型、持久型、DOM型

CSRF

CSRF(Cross-site request forgery),跨站请求伪造,也被称为“One Click Attack”,也可以缩写为XSRF。它一种劫持受信任用户向服务器发送非预期请求的攻击方式。

通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任ÿ

最低0.47元/天 解锁文章
luluoluoa
关注
专栏目录
浅析/XSS/CSRF/同源策略
weixin_43905830的博客
11-20 631
3、浏览器安全 3.1、同源策略 什么是同源? 如果两个url的协议、域名、端口相同,就称这两个url是同源 比如http://store.company.com:80/index.html和 http://store.company.com:80/dir/index.html是同源,而 https://store.company.com:80/index.html和 http://store.company.com:80/index.html不同源,因为协议不同。 同源策略主要表现在DOM、Web数据
1.7 xss同源策略与跨域访问
weixin_30922589的博客
08-19 199
同源策略同源策略web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制...
XSS技巧拓展】————2、再谈同源策略
Fly_鹏程万里
12-26 486
同源策略应该是学习 Web 安全时最最基础的内容,时隔多年再回过头来仔细温习一下,发现了不少当初漏掉的细节,结合这么多年的安全经验,重新总结一下同源策略相关的内容。 0x00 何为同源策略 如果两个页面拥有相同的协议(http、https)、相同的端口(如果其中一个指定了端口)、相同的 host,那么就可以认为这两个页面是同源的。简单的讲,同源策略就是同协议、同端口、同 host 这样的一...
同源策略为什么可以防csrf_网站漏洞攻击之跨站请求伪造CSRF
weixin_34569317的博客
01-16 399
什么是CSRF跨站请求伪造是一种互联网安全漏洞,它允许一个攻击者诱导用户操作他们不想要进行的操作。它允许攻击者绕过同源策略来攻击(一种设计用来阻止不同互相干涉的策略)。跨站攻击有什么影响在一个成功的跨站攻击中,攻击者可以让受害者用户无意之中执行一些操作。比如,他可以更改账户的邮件地址或者密码或者进行资金转账等。如果受害者拥有更高的权限,那么整个操作系统和上面的数据文件都会受到窃取和破坏。跨站攻击的...
xss过滤器无法处理ajax请求_前端安全XSSCSRF
weixin_39739661的博客
12-04 894
XSS概述XSS(Cross Site Script),指「跨站脚本攻击」。原本缩写为 CSS,但因为与层叠样式表缩写(CSS)重名要做区分,所以改为 XSS。攻击方式攻击者通过向网站页面注入恶意脚本(一般是 JavaScript),通过恶意脚本对客户端网页进行篡改,达到窃取信息等目的,本质是数据被当作程序执行。XSS 的注入点HTML 的节点内容或属性,存在读取可输入数据javascr...
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3218
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
xss+csrf的组合拳
wo41ge的博客
12-16 3286
今天 就把之前学的东西简单的总结一下吧 【第一拳】存储型 XSS + CSRF
浅谈同源策略漏洞及XSSCSRF
actistsec的博客
10-21 891
跨域漏洞/XSS/CSRF在蜜罐上也有相应利用点
同源策略为什么可以防csrf_[Security] 2- CSRF
weixin_39710041的博客
01-06 235
1. CSRF 是什么?跨站请求伪造 Cross-site request forgery伪造真实用户身份,对程序进行恶意攻击。解释: 用户身份是好的, 但是某人获取到了该信息后,借用真实好身份去做坏事儿。2. 攻击流程例子: 1. 一家银行的转账地址为: www.a.com/withdraw?from=A&to=B&amount=1000 2. 一个攻击者在www.b.com ...
ssrf redis getshell 写私钥_csrf和ssrf总结
weixin_39850697的博客
11-22 462
1.csrf跨站请求伪造CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。在没有关闭相关网页的情况下,点击其他人发来的CSRF链接,利用客户端的cookie直接向服务器发送请求。原理:攻击者通过盗用用户身份悄悄发送一个请求,或执...
服务器安全:浏览器同源策略与跨域请求、XSS攻击原理及防御策略、如何防御CSRF攻击
热门推荐
寒泉
05-10 6万+
主要包括 浏览器同源策略与跨域请求 XSS攻击原理及防御策略 如何使用SpringSecurity防御CSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一、浏览器的同源策略 请求方式:HTTP,HTTPS,Socket等 HTTP请求特点:无状态。 想要保持状态的话,需要服务器下发token/cookie到浏览器,在服务器端存的是session 服务端与客户端要建立会话: 浏览器的同源策略 同源策略:当访问同一域名下的所有子URI时,不需要重新登录。 所谓的同源是指:1.
【前端面试之浏览器原理】什么是同源策略、什么是XSSCSRF攻击
阿卡内的博客
07-29 904
什么是同源策略、什么是XSSCSRF攻击
防范XSS攻击
fyxxq的专栏
01-07 975
参考:http://www.ibm.com/developerworks/cn/web/wa-vulnerabilities/index.html 同源策略 所谓同源是指,域名,协议,端口相同。当一个浏览器的两个tab页中分别打开来 百度和谷歌的页面,当浏览器的百度tab页执行一个脚本的时候会检查这个脚本是属于哪个页面的, 即检查是否同源,只有和百度同源的脚本才会被执行。 因为
吃透浏览器安全(同源限制/XSS/CSRF/中间人攻击)
沐华的博客
10-02 2263
前言 随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,特别是前端人员除了传统的 XSSCSRF安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、SameSite、HttpOnly、Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要我们不断进行“查漏补缺” 浏览器安全可以分为三大块:Web页面安全、浏览器网络安全、浏览器系统
Web前端安全策略之XSS的攻击与防御(1),2024年最新零基础网络安全
最新发布
2401_83947353的博客
04-14 657
这是最普遍的一种XSS攻击方式, 攻击的流程大致是:用户访问服务器——跨站的链接——返回跨站的代码这个定义看起来非常的抽象,我们用一个例子来讲解一下。例如html中有一个代码如下的 a 标签。
xss漏洞和csrf漏洞防御
weixin_33991418的博客
11-02 130
xss防御: 1、尽量少将域名的domain设为域名的根下面,减少分站xss漏洞对主站的影响; 2、对输入的数据进行过滤检查: publicstaticStringhtmlSpecialChars(finalStrings){Stringresult=s;result=regexReplace("&","&am...
XSS技巧拓展】————1、漫谈同源策略
Fly_鹏程万里
12-26 1431
摘要 如今的WEB标准纷繁复杂,在浏览稍大一些的网站时,细心的人会发现网页上呈现的内容并不仅限于网站自身提供的内容,而是来自一堆五花八门的网站的内容的集合。但有谁会想到同源策略在保护着网民们的安全呢? 了解同源策略是十分有必要的,要深入掌握XSS / CSRFWEB安全漏洞,不了解同源策略就如同盲人摸象一般,无法说出全貌,更无法应用其进行打击。另外,无论是网银盗号,还是隐私泄露,理解了同源策...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值