web安全同源策略以及跨站脚本,跨站请求伪造

最新推荐文章于 2024-09-21 21:25:21 发布
最新推荐文章于 2024-09-21 21:25:21 发布
阅读量1k 收藏 1
点赞数
分类专栏: web安全 文章标签: xss  web安全
阿里巴巴盒马大量招聘 hc多多 提供全程面试辅导 简历砸过来 laixiaoxing.lxx@alibaba-inc.com 5年内的p6 7年以上的p7 机会多多
本文链接:https://blog.csdn.net/qq_20009015/article/details/84647267
版权
本文介绍了Web安全的基础知识,包括同源策略的原理和作用,以及防止跨站脚本(XSS)和跨站请求伪造(CSRF)的策略。同源策略限制了JavaScript跨域访问,而CORS是解决前后端分离问题的一种方式。XSS攻击常通过不加验证的输入框注入恶意脚本,窃取用户信息;而CSRF攻击则利用用户已登录状态,伪造转账等操作。防范措施包括设置HttpOnly cookie、使用代理和CORS策略等。
摘要由CSDN通过智能技术生成

http是无状态协议 所以服务器为了辨识访问者是否已经访问过 会给浏览器一个cookie

浏览器再次访问时候 将cookie传过去 服务器就可以知道 该访问者已经登陆过 不需要再次登陆

 

 

 

但是早起 服务器是被动 也就是 当浏览器发起请求 才会有回应,如果说对于一些特殊情况,比如需要实时更新的股票信息,不免需要

浏览器每间隔一段时间重复去询问 查询股票是否已经变化

浏览器 股票涨了了吗 服务器 没有

浏览器 股票涨了了吗 服务器 没有

浏览器 股票涨了了吗 服务器 没有

浏览器 股票涨了了吗 服务器 没有

浏览器 股票涨了了吗 服务器 涨了

。。。这个过程叫轮询 效率是很低的

 

 

 

然后现在 websocket可以建立一个长连接 实现服务器与浏览器的实时通信 无需轮训

 

 

 

安全:

服务器通过cookie来辨识用户身份,因此cookie里实际上是存储有用户的加密信息,一但黑客获取到cookie便可以伪造用户身份去登陆,

比如获取到网银的cookie后 就可以去登陆用户的网银 因此是非常危险的

 

 

因此 浏览器有同源策略

除非两个网页的javascipt来自同一个源头 ,否则不允许一个网页的javaScript访问另外一个网页的内容 包括cookie DOM 等等

 

同一个源头指的是 url地址相同 端口号相同

 

 

同时 为了方便 支持 嵌入式的 跨域访问 比如 <script src="xxxx"> <img src="xxx"> 这种相当于是浏览器发起了一次ge

最低0.47元/天 解锁文章
qq_20009015
关注
专栏目录
浅析/XSS/CSRF/同源策略
weixin_43905830的博客
11-20 635
3、浏览器安全 3.1、同源策略 什么是同源? 如果两个url的协议、域名、端口相同,就称这两个url是同源 比如http://store.company.com:80/index.html和 http://store.company.com:80/dir/index.html是同源,而 https://store.company.com:80/index.html和 http://store.company.com:80/index.html不同源,因为协议不同。 同源策略主要表现在DOM、Web数据
xss跨站脚本攻击、csrf跨站请求伪造
maidou931019的博客
07-02 2038
xss跨站脚本攻击 ,csrf跨站请求伪造 xss攻击 跨站脚本攻击 # views.pymsg = [] def comment(request): if request.method == 'GET': return render(request,'comment.html') else: v = request.POST.get('conten
跨站请求伪造(CSRF)攻击:解析与防御策略
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
07-22 788
CSRF攻击发生在当一个恶意网站或链接诱使已登录特定应用的用户点击时,用户的浏览器会自动携带相应的Cookie发送到服务器,导致在用户不知情的情况下执行了恶意请求。这种攻击通常针对敏感操作,如转账、更改密码或提交表单等,因为这些操作往往不需要再次验证用户身份。跨站请求伪造(CSRF)攻击是Web开发中不容忽视的安全隐患。通过理解其原理并采取有效的防御措施,我们可以大大降低被攻击的风险。前端开发者应当熟悉CSRF防御策略,并在实际工作中积极应用,以保护用户数据的安全
跨站请求伪造
weixin_33802505的博客
11-11 88
IBM appscan扫描漏洞--跨站请求伪造 appscan修订建议: 如果要避免 CSRF 攻击,每个请求都应该包含唯一标识,它是攻击者所无法猜测的参数。 建议的选项之一是添加取自会话 cookie 的会话标识,使它成为一个参数。服务器必须检查这个参数是否符合会话 cookie,若不符合,便废弃请求。 攻击者无法猜测这个参数的原因是应用于 cookie 的“同源策略”,因此,攻击者无法伪...
网络安全-CSRF跨站伪装脚本注入
码农成长记
10-31 572
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚
同源策略、跨越请求和JSONP
daimojingdeyu
12-26 174
1、同源策略     同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。这个策略可以追溯到 Netscape Navigator 2.0。 Mozilla 认为两个页面拥有相同的源,如果它们的协议、端口(如果指明了的话)和主机名都相同。下表给出了相对http://store.company.com/dir/page.html同源检测的结果: URL 结果 原...
跨站请求伪造(CSRF)漏洞详解
最新发布
CoffeMilk的博客
09-21 1206
跨站请求伪造(Cross-site request forgery 简称:CSRF);是一种冒充受信任用户,向服务器发送非预期请求的攻击方式(它允许攻击者诱使用户执行他们不打算执行的操作;允许攻击者部分绕过同源策略,该策略旨在防止不同网站相互干扰)【CSRF主要利用的是网站对用户网页浏览器的信任】【XSS 利用的是用户对指定网站的信任】。 跨站请求伪造的攻击特性是危害性大但非常隐蔽,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。
防止伪造跨站请求
03-26
标题中的“防止伪造跨站请求”指的是Web应用安全领域中的CSRF(Cross-Site Request Forgery,跨站请求伪造)防护。CSRF攻击是利用用户的已登录状态,诱使用户在不知情的情况下执行非预期的操作,例如转移资金、更改...
WEB漏洞篇——跨站脚本攻击(XSS
m0_56634355的博客
06-05 4739
目录一、XSS简述1.1 什么是XSS1.2 XSS分类1.3 DOM XSS漏洞演示二、XSS攻击进阶2.1 初探XSS Payload2.2 强大的XSS Payload2.3 XSS攻击平台2.4 XSS Worm2.5 XSS构造技巧2.6 反射型XSS利用技巧-回旋镖2.7 Flash XSS2.8 JavaScript开放框架三、XSS防御3.1 HttpOnly3.2 输入检查3.3 输出检查3.4 正确地防御XSS3.5 处理富文本3.6 防御DOM Based XSS四、总结XSS攻击是指
跨站请求伪造CSRF
BinParker的博客
08-10 350
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
浅谈跨站脚本攻击
weixin_30270561的博客
12-01 126
什么是XSS攻击 XSS又叫CSS(Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大...
XSS技巧拓展】————2、再谈同源策略
Fly_鹏程万里
12-26 488
同源策略应该是学习 Web 安全时最最基础的内容,时隔多年再回过头来仔细温习一下,发现了不少当初漏掉的细节,结合这么多年的安全经验,重新总结一下同源策略相关的内容。 0x00 何为同源策略 如果两个页面拥有相同的协议(http、https)、相同的端口(如果其中一个指定了端口)、相同的 host,那么就可以认为这两个页面是同源的。简单的讲,同源策略就是同协议、同端口、同 host 这样的一...
同源策略跨站 学习笔记
MoveLikeRabbit的博客
07-25 204
同源策略 1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。 最初,它的含义是指,A网页设置的 Cookie,B网页不能打开,除非这两个网页”同源”。所谓”同源”指的是”三个相同”。 协议相同 域名相同 端口相同 “同源政策”是必需的,否则 Cookie 可以共享,互联网就毫无安全可言了 浏览器同时还规定,提交表单不受同源政策的限制。...
详解Web跨域和同源,超全~(8种解决方式)
敲敲的博客
03-14 1683
跨域和同源 文章目录跨域和同源1.javascript的同源策略(Same-Origin Policy)1.1 在同源策略下,浏览器限制的请求:1.2 允许通信的情况:1.3 不允许的情况:2. 跨域问题的解决方案2.1 服务端CORS方法CORS——跨域资源共享&quot;(Cross-origin resource sharing)以一个例子来说明:**优点**2.2 客户端解决方案2.2.1 JSON...
CSRF初探、跨站请求伪造同源策略、Cookie作用域、DVWA实验)详解
小赵同学的博客
11-26 1323
CSRF初探、跨站请求伪造同源策略、Cookie作用域、DVWA实验)详解一、CSRF初探(同源策略)二、CSRF初探(Cookie作用域)三、CSRF跨站请求伪造(详解)四、CSRF跨站请求伪造(DVWA实验)DVWA实验(Low)DVWA实验(medium) 一、CSRF初探(同源策略) 1、什么是CSRF? 跨站请求伪造,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作
csrf之cookie和session、同源策略
2301_80361487的博客
01-26 402
大家都遵从了这个约定俗成的结果,把这两个域名都映射到同一个服务器。于是乎,不管你输入哪一个格式的网址,都是在访问同。的浏览器都会使用这个策略。同源策略的目的为了保证用户信息的安全,防止恶意的网站窃取数据。同源策略是浏览器最核心也是最基本的安全功能,现在所有支持。目前,所有浏览器都实行这个策略。在相当一段时间里,哪怕是现在,很多人仍然把带。所谓“同源”指的是“三个相同”。同源策略是非常重要的。人都将无障碍的获取私密信息,例如各个网。,这里要划重点了,这是个不带。最初,它的含义是指,告联盟、流量统计商、
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
lifan_zuishuai的博客
06-26 2035
​​​​一文彻底搞懂 跨域 同源策略 csrf攻击原理
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3223
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
理解Web安全基础:同源策略详解
《白帽子讲Web安全》一书深入剖析了Web安全的各种攻击手段和防御策略,包括XSS跨站脚本)、CSRF(跨站请求伪造)、SQL注入等,同时涵盖了安全开发流程和运营实践,对于安全从业者和开发者具有很高的参考价值。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值