前端安全问题---XSS和CSRF

最新推荐文章于 2024-08-02 17:24:04 发布
最新推荐文章于 2024-08-02 17:24:04 发布
阅读量1.2k 收藏 8
点赞数 2
分类专栏: javascript http 文章标签: XSS CSRF XSS与CSRF区别 XSS相关问题 CSRF相关问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37686205/article/details/90030588
版权
本文详细介绍了XSS和CSRF这两种常见的前端安全问题。XSS是跨站脚本攻击,分为反射型和存储型,攻击者通过注入恶意HTML代码来窃取用户信息或执行非法操作。防范措施包括编码、过滤和校正。而CSRF则是跨站请求伪造,攻击者利用用户的已登录状态执行非授权操作。防御CSRF的方法包括Token验证、隐藏令牌和Referer验证。XSS与CSRF的主要区别在于攻击方式和是否需要用户登录。
摘要由CSDN通过智能技术生成

XSS概念

XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。

XSS的攻击原理

其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、重定向到其它网站,D-doss攻击等;XSS攻击类似于SQL注入攻击,攻击之前,我们先找到一个存在XSS漏洞的网站。理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在XSS漏洞,漏洞的危害取决于攻击代码的威力。

XSS的攻击方式

  • 反射型
    发出请求时,XSS代码出现在url中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,所以叫反射型XSS。
  • 存储型
    存储型XSS和反射型XSS的差别在于,提交的代码会存储在服务器端(数据库、内存、文件系统等),下次请求时目标页面时不用再提交XSS代码。

XSS的防范措施(encode + 过滤)

XSS的防范措施主要有三个:

最低0.47元/天 解锁文章
阳光下的冷静
关注
专栏目录
前端安全XSSCSRF
yangyang的专栏
07-09 1111
1.概念 XSS:Cross Site Script,中译是跨站脚本攻击 CSRF:Cross-site request forgery,中文为跨站请求伪造 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。 CSRF是一种劫持受信任用户向服务器发送非预期请求的攻击方式。通常情况下,C...
前端安全XSSCSRF
qq_57334853的博客
07-29 807
XSS(Cross-site scripting)跨站脚本攻击: 用户在页面渲染数据时注入可运行的恶意脚本 目的是盗用cookie,获取敏感信息,得到更高权限
XSSCSRF、SSRF漏洞原理以及防御方式_xsscsrf、ssrf原理与防御
最新发布
2201_75735270的博客
08-02 994
XSS(Cross Site Scripting):跨域脚本攻击。
前端安全XSSCSRF攻击
公众号:前端充电宝
08-02 663
目录1. 什么是XSS ?1.1 概念1.2 攻击方式1.3 危害1.4 分类2. 如何防御XSS?2.1 设置HttpOnly2.2 输入检查2.3 输出检查3. 什么是CSRF ?3.1 概念3.2 攻击方式4. 如何防御CSRF?4.1 验证码4.2 验证Referer4.3 cookie设置sameSite4.4 添加token验证 1. 什么是XSS ? 1.1 概念 XSS,即 Cross Site Script,是指跨站脚本攻击,原本缩应该为CSS,但是为了和层叠样式表(Cascading
前端安全知识(XSSCSRF
野生松
02-12 341
一、XSS(跨站脚本攻击) xss:跨站脚本攻击(Cross Site Scripting)是最常见和基本的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 javascript 代码,从而当用户浏览该网页时,控制用户浏览器。 1、常见的攻击方式 在输入框输入恶意代码(例如评论) 劫持用户的cookie 2、防御方式 httpOnly: 在 cookie 中设置 Http...
java-sec-code xsscsrf
weixin_44687621的博客
08-19 374
XSS漏洞 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。 一般来说,只要将用户输入的数据不经任何处理就返回到前端,是极易产生XSS漏洞的。 反射型xss 为了让我们方便理解,作者这里没有使用其他花里胡哨的html页面 @RequestMapping("/reflect"
前端安全CSRFXSS该怎么防御?
椰卤工程师的个人博客
11-12 2421
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的时候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击是页面被注入了恶意的代码,利用恶意脚本,攻击者可以获取用户的Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
前端面试常问--计算机网络--网络攻击XSSCSRF
zem
11-02 1219
XSS(Cross Site Scripting) XSS攻击全称跨站脚本攻击,之所以首字母是X,是为了区别于层叠样式表CSS 使用cookie,localStorage,sessionStorage时要注意是否有代码存在XSS注入的风险,攻击者在有XSS缺陷的页面会窃取用户的对应信息 XSS注入的方法 XSS注入实际上就是通过页面设计时的缺陷,利用浏览器对于某处代码的解析,让浏览器去执行恶意代码 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。 在内联的 JavaScript 中,
Web安全的三个XSS-CSRF-CLICK攻防姿
11-01
CSRF攻击同样是一种常见的Web安全问题,它利用用户的合法身份,诱导用户在不知情的情况下发起一些非用户的意愿操作。例如,用户在登录状态下,攻击者通过构造特定的URL使用户点击后,自动在用户不知情的状况下执行...
前端安全XSSCSRF
mkbird的博客
09-08 1643
相对来说token的用户体验会更好,将token存在我们自己的网页中,只有通过自己的网页发起的请求才能携带token,而只有携带token的请求后端才会响应。更为严重的后果可能是,攻击者用你的账户再次发布了链接,其他用户一旦点开,就会继续中招,形成CSRF蠕虫,不断传播。脚本中创建一个图片,图片中创建一个img,在img的src中将请求地址改为自己的脚本,并附带当前网站的cookie,就可以拿到cookie了。点击搜索,我们会发现,网站"执行了"我们的脚本,这样我们就实现了最简单的xss攻击。
前端安全CSRFXSS
pz1021的博客
03-30 154
1. CSRF 通常称为跨站请求伪造,英文名Cross-site request forgery缩写CSRF 1.1 攻击原理 实现攻击的两大关键因素: 网站中的某个接口存在这种漏洞 用户确实在A注册网站确实的登录过 1.2 CSRF防御措施 Token验证 Referer验证 隐藏令牌 2. xss XSS (cross-site scrip...
前端必备知识点之CSRFXSS
weixin_44258964的博客
02-01 380
前端面试必备技能-CSRFXSS
前端XSS攻击和CSRF攻击
weixin_44823731的博客
12-25 535
1.XSS攻击 XSS攻击:(Cross Site Scripting)跨站脚本攻击。在渲染DOM树的过程中执行了不在预期内的js代码,就发生了XSS攻击。 攻击样例:在一些博客网站,发表一篇文章的时候,在文章中加入<script>alert('XSS攻击')</script>这种用script标签包含着的js语句。发表成功之后,当别人访问你的这篇文章的时候,就会自动执行alert('XSS攻击')这段代码。这样就属于xss攻击。更严重的,就在script标签中,获取你的cookie
前端黑客之XSSCSRF
caoxinhui521的博客
08-09 472
XSS:跨站脚本,发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中出现了不被预期的脚本指令并执行时,XSS就会发生。 绝大多数XSS攻击都会采用嵌入一段远程或者第三方域上的脚本资源。任何安全问题都有“输入”的概念,很多时候输入的内容长度是有限制的。真正的XSS攻击弹出窗无意义。一般会注入类似 这样做的好处:攻击代码容易控制 XXS类型
前端攻击之xsscsrf
baibaider的博客
03-19 743
被动攻击:   诱发用户触发陷阱启动发送。 利用用户身份攻击企业内部网络。 主动攻击:   攻击者直接访问web应用,就能发起对web应用的攻击,比如sql注入(对数据运行非法sql产生的泄露机密信息)和os命令注入(通过程序运行非法操作系统指令,在能调用shell函数的地方,因为web通过shell来调用操作系统指令)。 xss:(Cross Site Scripting,为了区别于c...
web前端安全XSSCSRF
weixin_36215102的博客
08-22 372
前言:昨天我终于弄明白了(一点点)Generator和async,但是还是对如何自己写一个promise云里雾里的,决定先记一下思路,手撕一个简单版的就行。有时间多看几个博客和规范。 今天的主要写博客任务就是搞明白XSS、CRSF攻击及其防御手段 XSS 概念 XSS XSS攻击全称是跨站脚本攻击(Cross Site Scripting) 跨站脚本攻击是一钟常见的web应用计算机安全漏洞,攻击者...
前端安全XSSCSRF讲解
曹定栓的博客
08-07 1782
XSS 全称Cross Site Scripting,名为跨站脚本攻击。为啥不是单词第一个字母组合CSS,大概率与样式名称css进行区分。
Web前端安全XSSCSRF深度剖析
在实践中,前端开发者应时刻关注这些安全问题,使用最佳实践来编码,如输入验证、输出编码、以及实施严格的CSP策略。同时,定期进行安全审计和漏洞扫描也是非常必要的,以确保Web应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值