XSS 和 CSRF

最新推荐文章于 2024-07-27 09:11:21 发布
最新推荐文章于 2024-07-27 09:11:21 发布
阅读量375 收藏
点赞数
分类专栏: WEB 文章标签: xss csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/php_martin/article/details/125869573
版权
本文深入探讨了XSS(跨站脚本)和CSRF(跨站请求伪造)两种常见的Web安全攻击,包括它们的概念、攻击方式、危害及相应的防御措施。对于XSS,强调了转义字符和Content Security Policy(CSP)的重要性;而对于CSRF,提到了令牌验证和SameSite Cookie策略。最后,还讨论了密码安全处理中的加盐加密方法。
摘要由CSDN通过智能技术生成


1. XSS

涉及面试题:什么是 XSS 攻击?如何防范 XSS 攻击?什么是 CSP

  • XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中。
  • XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型。
  • 持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击。

举个例子,对于评论功能来说,就得防范持久型 XSS 攻击,因为我可以在评论中输入以下内容

image.png

  • 这种情况如果前后端没有做好防御的话,这段评论就会被存储到数据库中,这样每个打开该页面的用户都会被攻击到。
  • 非持久型相比于前者危害就小的多了,一般通过修改 URL 参数的方式加入攻击代码,诱导用户访问链接从而进行攻击。

举个例子,如果页面需要从 URL 中获取某些参数作为内容的话,不经过过滤就会导致攻击代码被执行

<!-- http://www.domain.com?name=<script>alert(1)</script> -->
<div>{
  {name}}</div>

但是对于这种攻击方式来说,如果用户使用 Chrome 这类浏览器的话,浏览器就能自动帮助用户防御攻击。但是我们不能因此就不防御此类攻击了,因为我不能确保用户都使用了该类浏览器。

对于 XSS 攻击来说,通常有两种方式可以用来防御。

  1. 转义字符

首先,对于用户的输入应该是永远不信任的。最普遍的做法就是转义输入输出的内容,对于引号、尖括号、斜杠进行转义

function escape(str) {
   
  str = str.replace(/&/g, '&amp;')
  str = str.replace(/</g, '&lt;')
  str
最低0.47元/天 解锁文章
小码哥・Martin
关注
专栏目录
XSSCSRF
Cairo_A的博客
05-12 211
本文主要介绍了 XSSCSRF 的攻击原理和防御措施。当然,在 Web 安全领域,除了这两种常见的攻击方式,也存在这 SQL 注入等其它攻击方式。防御 XSS 攻击HttpOnly 防止劫取 Cookie用户的输入检查服务端的输出检查防御 CSRF 攻击验证码Token 验证<完>
前端面试题
01-20
有关于CSS的面试题和练习 ,集合了多种前端面试题 可共学习 参考 祝你面试通过!
前端面试题大集合
热门推荐
heye13的专栏
03-19 1万+
本文旨在加深对前端知识点的理解,资料来源于网络,由本人(博客:http://segmentfault.com/u/trigkit4) 收集整理。 一些开放性题目 1.自我介绍:除了基本个人信息以外,面试官更想听的是你与众不同的地方和你的优势。 2.项目介绍 3.如何看待前端开发? 4.平时是如何学习前端开发的? 5.未来三年的规划是怎样的? position的值
XSSCSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
最新发布
weixin_57514792的博客
07-27 812
XSSCSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
前端面试
青岑的博客
01-21 3319
最近一直在忙着各种面试,也算是有些经验,总结一下。 来北京之前面了两家,在北京面了三家,反馈都还不错。最大的体会就是,技术这一块还是要来北京工作,二三线城市的技术发展还是很不完善的。 先说简历,这个知乎上有很多写的不错的文章可以去搜一下,下面简单写一下注意点。 要明确的标出工作年限,这一点很重要,很多人的简历筛选不到这几个关键字。 项目经验在精而不在多,一定要把简历上的每一个项目详细的描述
js的一些小技巧
web全栈开发的博客
06-28 231
c 保存的是这个对象的地址值,c准确的说是引用类型,{}这个数据,也是对象c。当函数没有设置形参,而调用时传递了实参,会在函数内默认用。返回匹配的第一个元素 得到的都是一个DOM对象。这个伪数组来存储实参,说他是伪数组是因为没有。返回所有匹配的元素,放在一个伪数组里。
Doctype作用,标准模式与兼容模式的区别
db1100的博客
11-25 651
<!DOCTYPE>声明位于位于HTML文档中的第一行,处于 <html> 标签之前。告知浏览器的解析器用什么文档标准解析这个文档。DOCTYPE不存在或格式不正确会导致文档以兼容模式呈现。 标准模式的排版 和JS运作模式都是以该浏览器支持的最高标准运行。在兼容模式中,页面以宽松的向后兼容的方式显示,模拟老式浏览器的行为以防止站点无法工作。HTML5 ...
router_xss_csrf:具有XSSCSRF的安全路由器
03-05
具有XSSCSRF的安全路由器 下载文件“ .htaccess”,并将其放置在应用程序的根目录下。 通常,这是一个名为“ htdocs”或“ www”的文件夹。 下载文件“ router.php”,并将其放置在应用程序的根目录下。 通常,...
网络攻防之XSSCSRF
mplanning的博客
05-06 1076
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2155
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击。攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击。
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1580
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击,CSRF攻击的原理、特点以及xssCSRF的区别
前端面试题目
ziy10231207的博客
07-12 539
登录 写文章 前端同学大福利,最全的面试题目整理 通通 · 18 天前 自己整理了一些关于前端这个行业面试题,好多都不会好难过,I NEED AV....... HTML&CSS 1. 常用那几种浏览器测试?有哪些内核(Layout Engine)? (Q1) 浏览器:IE,Chrome,FireFox,Safari,Opera。 (Q2) 内核:
前端面试题---
山茶-峰
07-06 354
js js中的变量声明:在js中变量没有使用声明符号进行声明的时候,系统会自动创建一个全区变量的声明方式声明该变量 在js中声明变量由三种方式:第一中、不使用符号进行声明,该方式自动生成为全局变量 第二种、使用var符号进行声明,该符号声明变量会作为该作用域的全局变量 第三种、使用符号let进行声明,该符号的底层时函数自调用的形式,声明的变量只在本作用于本条声明之下起作用 闭包: 全局变量和局部变量时js变成中常用的变量形式 在java中,由公共的,私有的,自己和子代可用的三种权限 闭包就是用
前端攻略系列(二) - 前端各种面试题
weixin_34268310的博客
01-31 122
  幸运且光荣的被老大安排了一个任务 - “去整理些前端面试题”。年前确实不是招人的好时候,所以我们前端团队经过了超负荷的运转,终于坚持过了春节。春节以后就开始招人啦,这套题考察的目标就是基础基础再基础,嘿嘿。   事先声明: 这些题目的来源:面试曾经被问过;工作被别人问过或者遇见过;网上看见过... 答案真心不给提供,真的是许多问题都需要个人的理解和沉淀,所以还请各位自己动手...前端...
常见的前端vue面试题
qsj0606的博客
03-08 448
常见的前端vue面试题 1、请讲述下VUE的MVVM的理解? MVVM 是 Model-View-ViewModel的缩写,即将数据模型与数据表现层通过数据驱动进行分离,从而只需要关系数据模型的开发,而不需要考虑页面的表现,具体说来如下: Model 代表数据模型:主要用于定义数据和操作的业务逻辑。 View 代表页面展示组件(即dom展现形式):负责将数据模型转化成UI 展现出来。 ViewModel 为model和view之间的桥梁:监听模型数据的改变和控制视图行为、处理用户交互。通过双向数据绑定把 V
xsscsrf的区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用中存在的漏洞,攻击者通过注入恶意的脚本代码到网页中,使得用户在浏览网页时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小码哥・Martin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值