【HTML】浅谈网络安全 XSS攻击 和CSRF攻击

最新推荐文章于 2022-03-31 18:25:22 发布
最新推荐文章于 2022-03-31 18:25:22 发布
阅读量1k 收藏
点赞数
分类专栏: HTML 文章标签: 网络安全 html5 html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51273200/article/details/120377895
版权

1.XSS攻击

        XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。

xss攻击的预防:

  • 预防 DOM 型 XSS 攻击
  • 输入过滤,返回“安全的”内容
  • 前端渲染把代码和数据分隔开

2.CSRF

        CSRF(Cross Site Request Forgery,跨站请求伪造),字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时,其 Cookie 还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成 CSRF 攻击。    

CSRF攻击的防范:

  • 验证 HTTP Referer 字段;
  • 在请求地址中添加 token 并验证;
  • 在 HTTP 头中自定义属性并验证    

 

Under-_-Taker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
html注入跨站攻击脚本,跨站脚本攻击XSS
weixin_39888180的博客
06-23 1860
跨站脚本攻击(XSS)是一种客户端代码注入攻击攻击者通过在合法的网页中注入恶意代码,达到在受害者的浏览器中执行恶意代码的目的。当受害者访问执行恶意代码的网页时,攻击就开始了。这些网页成为了将恶意代码发送到用户浏览器的工具。通常受到跨站脚本攻击的网页包括论坛、留言板以及可以评论的网页。如果网页将用户的原始输入作为网页内容,那么它很容易受到 XSS 攻击,因为这类用户输入一定会被受害者的浏览器解析。...
html攻击代码,解决v-html指令潜在的xss攻击
weixin_29155599的博客
06-09 1324
我们首先来看一个例子运行之后由于src地址对应的资源找不到,会触发img标签的error事件,最终alert弹框。这便是一个最简单的xss攻击html指令的运行原理v-html指令源码///vue/src/platforms/web/compiler/directives/html.jsexportdefaultfunctionhtml(el:ASTElement,dir:AST...
xss跨站攻击html转义,前端攻击和防御(一)XSS跨站脚本攻击
weixin_36011231的博客
06-21 1433
(一)XSS跨站脚本攻击(1)XSS简介XSS攻击全称跨站脚本攻击(Cross Site Scripting),是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。XSS是指恶意攻击者利用网站没有对用户提交数据进行转义处理或者过滤...
前端网络安全相关知识 (XSSCSRF
雷佳佳的博客
02-18 4106
新冠肺炎疫情这么严重,大家是在家办公呢?还是带薪休假呢?或者是停薪休假呢? 不管大家在干什么,我觉得很难静不下心来,专心做某件事吧? 我反正忍不住一会儿就想看下疫情都最新消息,时刻关注着,什么时候结束这场“噩梦”…… 俗话说:不求三月下扬州,但求月底能下楼~~~ 闲暇之际:总结一下网络安全知识,共享下吧,如有不到位的,小窗口欢迎???????????? 首先说一下他的重要性 随着互联网的发达,各种WEB应用也变得越...
WEB漏洞测试(二)——HTML注入 & XSS攻击
qq_28241149的博客
02-28 2万+
上一篇介绍了我们安装BWAPP来完成我们的漏洞测试 在BWAPP中,将HTML Injection和XSS做了非常详细的分类,那么为什么要将两个一起讲呢?归根结底,我觉得这两个分明是一个玩意,充其量是攻击的方式不一样。 我们先来介绍一下这两种漏洞的原理,简单说:当用户在输入框输入内容,后台对输入内容不做处理直接添加入页面的时候,用户就可以刻意填写HTML、JavaScript脚
跨站攻击(XSS+CSRF).docx
最新发布
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
XSSCSRF两种跨站攻击总结
02-26
但是,历史同样悠久的XSSCSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免...
预防XSS攻击和SQL注入XssFilter
05-19
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin...
xss攻击 html代码,常见的XSS攻击代码
weixin_35671110的博客
06-07 2061
第一类:在html标签事件中触发,典型的是on*事件,但是这种触发模式的缺陷在于不能直接触发所以更多的需要配合使用。eg:1.使html元素占据整个显示页面 2.增加属性触发事件 3.自动触发事件在真实环境中,‘ 、" 、( 、) 都是属于黑名单中的成员,如果遇到以上四个字符被过滤的情况,那么我们就需要使用其他字符去代替,或者编码的方式去绕过。eg:1.不使用 " 2.不使用 ‘ 3.不使用...
关于HTML 代码注入,XSS攻击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
前端网络安全防范详解
白天不懂夜的黑
01-22 8490
借鉴了很多文章,参考很多资料 浅谈CSRF XSS 涉及的面试题 什么是XSS攻击?如何预防XSS攻击 1 基础概念 XSS(Cross Site Scripting)攻击全称跨站脚本攻击是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户...
Web 前端安全问题 - XSSCSRF、界面操作劫持
lhz_333的博客
03-19 3685
XSSCSRF、界面操作劫持
网络安全攻击与防护--HTML学习
weixin_30730053的博客
08-19 1178
第一节、 HTML基本语法(文末有对该文视频讲解)   HTML的官方介绍什么的我就不说了,打字也挺累的,只简单介绍一下吧,其他的懂不懂都没关系。  HTML全称为Hypertext Markup Language,中文解释为超文本标记语言。  在HTML语言中,所有的标记都必须用尖括号(即大于号“<”和小于号“>”)括起来,一般情况下,每个标记单独占一行, 例1...
HTML 基础介绍
weixin_53139887的博客
12-08 1167
TML 语言简介 概述 HTML 是网页使用的语言,定义了网页的结构和内容。浏览器访问网站,其实就是从服务器下载 HTML 代码,然后渲染出网页。 HTML 的全名是“超文本标记语言”(HyperText Markup Language),上个世纪90年代由欧洲核子研究中心的物理学家蒂姆·伯纳斯-李(Tim Berners-Lee)发明。它的最大特点就是支持超链接,点击链接就可以跳转到其他网页,从而构成了整个互联网。 1999年,HTML 4.01 版发布,成为广泛接受的 HTML 标准。2014年
网络安全攻防----html基础
weixin_30394669的博客
07-27 167
一.学习html的硬件条件 网页(.Html)是静态的,学习html语言需要选择Chrome浏览器和Sublime3编辑器,选择Chrome浏览器是因为Chrome浏览器兼容性比较好,支持各种各样的插件和扩展。 Ctrl+s保存编写的代码 二.标签 标签是允许嵌套的 (1)双标签: 1.<h1>(首标签)…</h1>(尾标签)...
Vue中v-html使用的安全性问题
qq_62858590的博客
03-31 3745
Vue中v-html使用的安全性问题
精通HTML5网络安全
代码教主
06-10 422
安全是一个时不时出现的话题。 从一开始这不是问题,但是一旦发生坏事,通常就应该归咎于此。 软件很复杂,机器的人为编程还远远不够完美,用户也可能没有遵循最佳实践。 那么我们如何创建一个安全的系统呢? 网络是最不安全的地方之一。 具有潜在安全风险的计算机相互连接。 可以接收任意数据的服务器。 从未知来源执行代码的客户端。 尽管我们无法控制服务器的安全性,但我们必须做一些保护客户端的事情。 即使...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值