XSS 与 CSRF

已于 2022-02-09 15:00:26 修改
阅读量174 收藏
点赞数
分类专栏: 计算机与网络 文章标签: html javascript html5
于 2020-06-23 23:12:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mChales_Liu/article/details/106933367
版权

一、概述

1、XSS

跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为 XSS。

XSS 是一种在 Web 应用中的计算机安全漏洞,它允许恶意的 web 用户将代码植入到提供给其他用户使用的页面中。

能够被 XSS  攻击,需要满足以下条件:

  • 需要向web页面注入恶意代码;
  • 这些恶意代码能够被浏览器成功执行。

比如:“留言”功能——将通过表单输入的内容提交给服务器,服务器将输入的内容存储在数据库并返回到页面中——

恶意者就可以通过带有 href、src 属性的标签来添加一些恶意的JavaScript脚本——这个脚本会自动执行或者点击触发,这样当前用户的cookie信息就被发送到指定的服务器中,cookie就会被窃取泄露。

如何防御呢?

前端处理:可以在submit提交事件中针对表单中所有input的value值判断是否有script或者JavaScript这样的字符串(转换为小写字母后判断),如果有就要替换这个文本,然后再发送数据。

服务器处理:获取表单中所有input的value值判断是否有script或者JavaScript这样的字符串(转换为小写字母后判断),如果有就要替换这个文本,然后再返回数据。

目前,Chrome 浏览器实现了自动屏蔽 XSS 攻击。

2、CSRF

跨站请求伪造(CSRF)是一种冒充受信任用户,向服务器发送非预期请求的攻击方式。

例如,这些非预期请求可能是通过在跳转链接后的 URL 中加入恶意参数来完成:

<img src="https://www.example.com/index.php?action=delete&id=123">

对于在权限的 https://www.example.com 用户,这个 <img> 标签会在他们根本注意不到的情况下对 https://www.example.com 执行这个操作,即使这个标签根本不在 https://www.example.com 内亦可。

如何防御呢?

前端处理:

  • 验证 HTTP Referer 字段;
  • 在请求地址中添加 token 并验证;
  • 在 HTTP 头中自定义属性并验证。

无论使用何种方法,在服务器端的拦截器必不可少,它将负责检查到来的请求是否符合要求,然后视结果而决定是否继续请求或者丢弃。

3、XSS 和 CSRF 的区别

  • XSS:用户过分信任网站,放任来自浏览器地址栏代表的那个网站代码在自己本地任意执行。如果没有浏览器的安全机制限制,XSS 代码可以在用户浏览器为所欲为。
  • CSRF:网站过分信任用户,放任来自所谓通过访问控制机制的代表合法用户的请求执行网站的某个特定功能。

二、学习资源

浅谈XSS攻击的那些事(附常用绕过姿势):浅谈XSS攻击的那些事(附常用绕过姿势) - 知乎

XSS攻击进阶篇——那些年我们看不懂的XSS:【干货分享】XSS攻击进阶篇——那些年我们看不懂的XSS – 绿盟科技技术博客

CSRF 攻击的应对之道:https://www.ibm.com/developerworks/cn/web/1102_niugang_csrf/index.html

weixin79893765432...
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSSCSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
xsscsrf(详解)
qq_62046696的博客
06-30 4108
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
XSS攻击与CSRF攻击
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
XSSCSRF 攻击详解
最新发布
xnxqwzy的博客
05-01 356
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
详解XSSCSRF
sanlyshi's front-end road
10-28 1742
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
Web安全之CSFR与XSS
Carol的小星球
11-30 1175
CSFR CSFR(Cross-Site Request Forgery跨站点伪造请求)是一种网络攻击方式。攻击者在用户已经登录目标网站之后,诱使用户访问一个攻击页面,利用目标网站对用户的信任,以用户身份在攻击页面对目标网站发起一些恶意请求(如恶意发帖、改密码、发邮件等),达到攻击目的。 攻击过程 用户打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A。 2.用户信息通过验证后,网站A...
XSSCSRF攻击
weixin_43294560的博客
12-15 2659
同源策略: 同源指的是我们访问站点的:协议、域名、端口号必须一至,才叫同源。 浏览器默认同源之间的站点是可以相互访问资源和操作DOM的,而不同源之间想要互相访问资源或者操作DOM,那就需要加一些安全策略的限制,俗称同源策略 同源策略主要限制了三个方面: DOM层面:不同源站点之间不能相互访问和操作DOM 数据层面:不能获取不同源站点的Cookie、LocalStorage、indexDB等数据 网络层面:不能通过XMLHttpRequest向不同源站点发送请求 当然同源策略限制也不是绝对隔离不同源的站点
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
在网络安全领域,XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)是两种常见的攻击手段,而HTML注入则是它们的一种利用方式。这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞的实战练习...
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
浅谈xsscsrf攻击
半路出家的码农小王
05-15 2487
文章目录 前言 一、XSS是什么? 存储型(持久型) 反射型(非持久型) dom型 二、CSRF是什么? 总结 前言 由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题,很容易被黑客攻入。下面我们一起来聊一聊最常见的两种攻击方式,xsscsrf吧! 一、XSS是什么? XSS 全称是 Cross Site Scripting(即跨站脚本),为了和CSS区分,故叫它XSSXSS攻击是指浏览器中执行恶意脚本(无论是
工作中遇到的漏洞——xxxx网
qq_36042338的博客
09-25 872
CSRF CSRF(Cross-site request forgery):跨站请求伪造。 简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去执行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不...
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 731
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。本文将会简单介绍 XSSCSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
简析XSSCSRF 两种跨站攻击
江湖
09-21 5033
XSS:跨站脚本攻击,注入攻击的一种。攻击者利用应用程序的动态展示功能,在HTML页面中嵌入恶意代码。当用户浏览该页时,这些嵌入在html的恶意代码就会被执行,用户浏览器被攻击者控制。。。。 1.盗取用户cookie,伪造用户身份 2.控制用户浏览器 3.结合浏览器及其插件漏洞,下载病毒木马到浏览者的计算机运行 4.衍生URL跳转漏洞 5.官网挂钓鱼网站 6.蠕虫攻击
xss,csrf
张大晴的博客
10-13 945
文章转自: csrf介绍: https://www.cnblogs.com/shytong/p/5308667.html http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html https://www.cnblogs.com/cxying93/p/6035031.html xss介绍:https://www.cnblogs...
XSSCSRF两种攻击方式总结
JunDao73的博客
02-16 5759
XSSCSRF
afterlake的博客
06-10 1177
XSSCSRF是黑客进行Web攻击的两个常用手段,主要目的是绕过浏览器同源策略,非法获取信息资源 XSS(Cross Site Scripting):跨站脚本 虽然名字里带“跨站”,但是可以略过,直接看“脚本”。XSS时发生在浏览器渲染HTML时执行了不被预期的脚本指令的一种安全漏洞。 XSS的主要类型: 反射型XSS:利用动态网页特性,将恶意代码的数据提交到服务器,服务器又返回到...
XSSCSRF区别
Fighter1028
05-02 1万+
XSS原理: 根本我个人理解XSS又叫CSS(Cross-SiteScripting跨站脚本攻击)为了不和css层叠样式表混淆,所以改成了XSSXSS是将恶意的代码插入到html页面中,当用户浏览页面时,插入的html代码会被执行,从而达到最终目的。 XSS分为三种: 反射型:这种反射型一般存在链接中,请求链接时,代码经过
XSSCSRF攻击防御
热门推荐
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值