前端安全CSRF和XSS

最新推荐文章于 2024-01-03 08:53:38 发布
最新推荐文章于 2024-01-03 08:53:38 发布
阅读量141 收藏 1
点赞数 3
分类专栏: javascript基础 文章标签: javascript html
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pz1021/article/details/105210417
版权

1. CSRF

           通常称为跨站请求伪造,英文名Cross-site request forgery缩写CSRF

1.1 攻击原理

实现攻击的两大关键因素:

  • 网站中的某个接口存在这种漏洞
  • 用户确实在A注册网站确实的登录过
    在这里插入图片描述

1.2 CSRF防御措施

  • Token验证
  • Referer验证
  • 隐藏令牌

2. xss

          XSS (cross-site scripting跨域脚本攻击)

2.1 xss的攻击方式

1. 反射型

发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。这个过程像一次反射,故叫反射型XSS。\

  • 写入后盾接口,并关闭浏览器自动拦截xss
    在这里插入图片描述
  • 在url中输入攻击的脚本
    在这里插入图片描述
    在这里插入图片描述
    2. 存储型

存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务器端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码

2.2 XSS防范措施

  1. 编码 :对用户输入的数据进行HTML Entity编码
    在这里插入图片描述
  2. 过滤
  • 移除用户.上传的DOM属性,如onerror等
  • 移除用户.上传的Style节点、Script节 点、Iframe节点等
  1. 校正
  • 避免直接对HTML Entity解码
  • 使用DOM Parse转换, 校正不配对的DOM标签
程序员Better
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全:如何防止CSRF攻击?
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSSCSRF安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
浅谈Web前端安全策略xsscsrf,及又该如何预防?
dzqxwzoe的博客
02-09 219
跨站脚本攻击,缩写为XSS(Cross Site Scripting),是利用网页的漏洞,通过某种方式给网页注入恶意代码,使用户加载网页时执行注入的恶意代码。跨站请求伪造(Cross-site request forgery),也被称为或者 session riding,通常缩写为CSRF或者XSRF,是一种挟制用户在当前已登录的Web应用程序上执行**非本意的操作**的攻击方法。如:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。
前端安全知识(XSSCSRF
野生松
02-12 315
一、XSS(跨站脚本攻击) xss:跨站脚本攻击(Cross Site Scripting)是最常见和基本的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 javascript 代码,从而当用户浏览该网页时,控制用户浏览器。 1、常见的攻击方式 在输入框输入恶意代码(例如评论) 劫持用户的cookie 2、防御方式 httpOnly: 在 cookie 中设置 Http...
前端常见的Web攻击【XSSCSRF
最新发布
qq_53058639的博客
01-03 979
通过存在的安全漏洞的web网址用户的浏览器内运行非法的本站点的HTML标签或者JS的一种方式。换句话来,就是在该页面内运行不是该页面的js或者html代码的一种攻击。
前端安全XSSCSRF
yangyang的专栏
07-09 1037
1.概念 XSS:Cross Site Script,中译是跨站脚本攻击 CSRF:Cross-site request forgery,中文为跨站请求伪造 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。 CSRF是一种劫持受信任用户向服务器发送非预期请求的攻击方式。通常情况下,C...
前端安全问题---XSSCSRF
阳光下的冷静的博客
05-09 1194
XSS概念 XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。 XSS的攻击原理 其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、...
前端安全XSSCSRF攻击的原理和解决方案
liushijun_的博客
06-11 3547
1、XSS(CRoss Site Scripting, 跨站脚本攻击) 这是前端最常见的攻击方式,很多大型网站(如Facebook)都被XSS攻击过。 举个例子,我在一个博客网站正常发表一篇文章,输入汉字、英文、和图片,完全没有问题。但是如果我写的是恶意的JS脚本,例如获取到document。cookie然后传输到自己的服务器上,那我这篇文章或者评论时,之前注入的这段JS代码就执行了。JS代码一旦...
WEB前端安全——XSSCSRF
yuqing1008的博客
04-08 263
作者 |laobo整理 |桔子酱01XSSXSS(Cross-site scripting),指的是跨站脚本攻击,攻击者通过向页面A注入代码,达到窃取信息等...
浅析 Web 安全XSSCSRF
zhang6223284的博客
08-01 632
前言 整理面经的时候好多前端的面经里面都有和 web 安全相关的内容,所以就详细了解了一下,但是这几次面试其实都没有问到,今天晚上也问了面试官虽然 XSSCSRF前端安全相关,但是其实前端能做的并不多,最多只是对一些特殊字符进行转义,但是其实主要的工作还是后端来做,所以前端到底能做什么来预防这些东西。面试官是这么跟我的,他前端只是一个大门,并不能挡住所有东西,但是还是要对这些东西有...
详解前端安全XSS&CSRF),看了这篇,面试再也不怕不会安全相关的了
xiaoxiaofly的博客
05-22 1880
XSS Cross-Site Scripting (跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。 1.XSS的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本执行。 2.由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。 3.在部分
前端安全系列:如何防止XSS攻击?
02-25
在移动互联网时代,前端人员除了传统的XSSCSRF安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 攻击原理 跨站请求伪造CSRF简介 一、跨站请求...
前端基础-安全CSRFXSS
dzqxwzoe的博客
02-07 157
CSRF攻击是攻击者利用用户的身份操作用户帐户的一种攻击方式,通常使用Anti CSRF Token来防御CSRF攻击,同时要注意Token的保密性和随机性。比如:有人冒充你问你爹要钱,你爹怀疑他了,所以问他几个问题,比如你几岁还尿床。用这些问题来判断冒充者是不是你。
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1711
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
前端安全XSSCSRF
Spontaneous_0的博客
02-15 202
前端安全XSSCSRF
前端安全漏洞 XSSCSRF 异同
杏子
05-23 2322
前端安全漏洞 XSSCSRF 异同一、前言二、相同点三、区别 一、前言 前面有写过 前端安全漏洞之 XSS前端安全漏洞之 CSRF 的文章,本着程序员开发宗旨低内聚的原则,这里另出一遍文章讲讲两者之间的相同点和区别。 二、相同点 既然是前端安全漏洞,肯定就是前端脚本的攻击,主要都是通过 a 标签和 iframe 标签的 href 属性,img 标签的 src 属性等途径进行攻击。 两...
防抖与节流的封装函数与使用详解
pz1021的博客
03-16 2181
防抖与节流 在前端开发中有一部分的用户行为会频繁的触发事件执行,而对于DOM操作、资源加载等耗费性能的处理,很可能导致界面卡顿,甚至浏览器的崩溃。函数节流(throttle)和函数防抖(debounce)就是为了解决类似需求应运而生的。 防抖 函数防抖就是在函数需要频繁触发情况时,只有足够空闲的时间,才执行一次。好像公交司机会等人都上车后才关门一样。他不会上来一个人就触发一次关门,而是等人陆续上来......
面试20个人居然没有一个写出数组扁平化?如何手写flat函数
pz1021的博客
11-05 1686
定义 : 扁平化就是将多维数组变成一维数组,不存在数组的嵌套实现数组扁平化的方法有很多, 评分也每个人有各自的看法, 欢迎大家在评论区留下你自己对每个实现方式的评分,一起学习交流哦!不会没关系,最重要的是肯学程序员Better让我们一起学习呀~
立即执行函数详解及运用
pz1021的博客
03-14 1310
立即执行函数 定义:此类函数没有声明,在一次执行过后即释放。适合做初始化工作。 作用:造出一个函数作用域,防止污染全局变量,它既不会提升,也不会污染全局对象,尽量的把功能封装在函数中 首先得知道, 只有表达式才能被执行符号执行 被执行符号执行的表达式他的名字会被自动忽略 当函数成为一个表达式时,它既不会提升,也不会污染全局对象。将函数变为一个函数表达式的方式之一,将函数用小括号括起来。 然而...
前端安全性,xsscsrf,怎么防范,项目中用到了吗
03-13
前端安全性是一个非常重要的问题,xsscsrf是常见的攻击方式。为了防范xss攻击,我们可以对用户输入的数据进行过滤和转义,避免恶意脚本的注入。而对于csrf攻击,我们可以采用token验证的方式,确保请求的来源是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值