js[xss攻击和csrf攻击的原理以及防御措施]

已于 2023-11-15 10:25:20 修改
阅读量996 收藏
点赞数
分类专栏: javascript 文章标签: javascript xss csrf
于 2021-03-16 11:30:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxy869718069/article/details/114871198
版权

1.XSS

XSS:跨站脚本

用户通过表单输入框等手段输入js脚本,在浏览器或者服务器运行起来从而起到盗用其他用户信息,注入广告等破坏页面结构的行为手段。

XSS防范措施

防御的核心无非就是限制或者对用户输入的内容进行一些专项处理之后在保存或者返回。

  1. 编码转义:对用户输入的数据进行转义,实现输入什么就显示什么
  2. 输入过滤:对用户输入的数据进行一定的专项过滤,如:过滤移除< script >< /script >标签 onclick事件等。
  3. 谨慎对待富文本,不将富文本输入权限交予普通用户,同时对富文本的输入内容要进行校正与检验。

2.CSRF

CSRF:跨站请求伪造

跨站请求伪造攻击,必须达成两个必要的条件才能进行
1.登录受信任网站A,并在本地生成Cookie
2.在不登出A的情况下,访问危险网站B
原理是利用受信任网站A的登录漏洞,危险网站B通过诱导拿到登录状态的Cookie对A网站进行访问,从而达到B网站人员获取用户在A网站的各种信息与相关api操作的目的。

CSRF防范措施
  1. 验证 HTTP Referer 字段;Referer 指的是页面请求来源。意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截。
  2. 在请求地址中添加 token 传递,后端用ssession保存token并验证;
  3. 在 HTTP 头中自定义属性并验证

3.两者区别

1.csrf需要登录并获取用户信息,而xss不需要
2.csrf本身是利用网站的登录漏洞攻击,xss是提供js代码注入篡改网站攻击

XSSCSRF 攻击详解
AzulSystems的博客
03-03 2188
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1604
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击原理、特点以及xssCSRF的区别
Web XSSCSRF攻击原理浅谈
hopefullman的博客
02-20 735
作为一个即将放弃web开发的android来讲...对于朋友的疑问还是要给出解答... 本人也是参考了很多例子,总结一下感受,写出来便于大家理解。至于出处也请谅解。 跨站脚本攻击(Cross Site Script 为了区别于CSS 简称为 XSS)指的是恶意攻击者往Web页面里插入恶意js代码,当用户浏览该页之时,嵌入Web的代码会被执行,从而达到特殊目的。 因为我们完全信任了用户输入,...
js-xss 项目教程
最新发布
gitblog_00029的博客
10-10 843
js-xss 项目教程 js-xss Sanitize untrusted HTML (to prevent XSS) with a configuration specified by a Whitelist 项目地址: htt...
javascript防止xss攻击
小丑鱼家的猪猪
06-11 8037
javascript防止xss攻击 XSS(Cross Site Scripting),跨站脚本攻击,是一种允许攻击者在另外一个用户的浏览器中执行恶意代码脚本的脚本注入式攻击。本来缩小应该是CSS,但为了和层叠样式(Cascading Style Sheet,CSS)有所区分,故称XSS。 记录一下自己开发过程中遇到的问题 输入标签不是用文本框或者文本域的,比如用用div做可编辑标签,ht...
一、web安全(xss/csrf)简单攻击原理防御方案(理论篇)
wuli1024的博客
12-28 1491
原理:恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。
浏览器原理--跨站脚本攻击XSS)、CSRF攻击
xuan的博客
06-07 2403
(1) XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。(2)恶意脚本都能做哪些事情(3)恶意脚本是怎么注入的1、在一个反射型 XSS 攻击过程中,恶意 JavaScript 脚本属于用户发送给网站请求中的一部分,随后网站又把恶意 JavaScript 脚本返回给用户。当恶意 JavaScript
XSSCSRF、SSRF漏洞原理以及防御方式
Love_Naive的博客
09-03 5463
这里写目录标题XSSXSS攻击原理XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSSCSRF、SSRF的区别XSSCSRF的区别 XSS XSS(Cross Site Scripting):跨域脚本攻击XSS攻击原理: 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 X
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4935
文章目录XSS反射型持久型DOM型XSS如何防御CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
理解XSSCSRF攻击原理防御策略
"详解XSSCSRF简述及...理解XSSCSRF攻击原理,并采取相应的防护措施,对于保障Web应用的安全性和用户数据的隐私至关重要。开发者应该时刻保持警惕,遵循最佳安全实践,定期更新和审计代码,以防止这些常见攻击
使用Javascript实现前端防御http劫持及防御XSS攻击并且对可疑攻击进行上报
08-10
httphijack 使用Javascript实现前端防御http劫持及防御XSS攻击,并且对可疑攻击进行上报 使用方法 引入 httphijack1.0.0.js httphijack.init() 防范范围: 所有内联事件执行的代码 href 属性 [removed] 内嵌的代码 静态脚本文件内容
面试之-理解XSSCSRF攻击原理与实践
WLANQY的博客
02-03 241
利用受害者在被攻击网站已经获取的注册凭证(cookie),一般网站都是直接根据cookie判断是否是合法登录,由于受害者的cookie已经被获取了,所以被攻击网站就会认为是合法用户。而CSRF攻击之所以能够成功,是因为服务器误把攻击者发送的请求当成了用户自己的请求。服务器通过校验请求是否携带正确的Token,来把正常的请求和攻击的请求区分开,也可以防范CSRF攻击。前面讲到CSRF的另一个特征是,攻击者无法直接窃取到用户的信息(Cookie,Header,网站内容等),仅仅是冒用Cookie中的信息。
XSSCSRF原理防御
楚楚梦厦的博客
11-02 3867
1. XSS是什么 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等 XSS 常见的注入方法: 在 HTML 中,恶意内容以 script 标签形成注入。 在标签的 href、src 等属性中,包含 javascript: (伪协议)等可执行代码。 onload、onerror、onclick 等事件中,注入不受控制代码
详解XSS攻击CSRF攻击
马小兜要努力呀
07-23 726
什么是XSS攻击XSS中文名称就是跨站脚本攻击XSS的重点不在于跨站点而在于脚本的执行,那么XSS原理是:恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中的script代码会执行,因此会达到恶意攻击用户的目的。XSS攻击分为如下几类:反射型、存储型、DOM-based型,反射型和DOM-based型可以归类为非持久的XSS攻击,存储型可以归类为持久性的XSS攻击。 反射型XSS 简而言之,代码出现在url中,作为输入提交到服务器端 原理:反射型
XSS 攻击CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 2000
XSS 攻击CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
XSSCSRF、SSRF漏洞原理以及防御方式_xsscsrf、ssrf原理防御
yy1715713348的博客
04-01 1419
XSS(Cross Site Scripting):跨域脚本攻击
网络攻击XSSCSRF)详解
程序员世杰
02-20 2913
一、XSS (一)XSS 原理 Xss(cross-site scripting) 攻击:全称跨站脚本攻击,通过向某网站写入 js 脚本或插入恶意 html 标签来实现攻击。 比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取 cookie 中的用户私密信息; 或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。 (二...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值