[web] 跨域问题及CSRF、XSS攻击

最新推荐文章于 2024-05-11 11:15:00 发布
最新推荐文章于 2024-05-11 11:15:00 发布
阅读量2.4k 收藏
点赞数 1
分类专栏: web 文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37574623/article/details/122149116
版权
同源策略是浏览器安全基础,限制接口请求和DOM查询以防止CSRF和XSS攻击。解决方案通常涉及CORS配置,允许特定源访问。XSS攻击则通过设置HttpOnly cookie和数据过滤来防范。了解这些概念对于Web应用的安全至关重要。
摘要由CSDN通过智能技术生成

问题原因-浏览器同源策略

同源:

  1. 协议相同
  2. 域名相同
  3. 端口相同

浏览器是从两个方面去做这个同源策略的

  1. 针对接口的请求
  2. 针对Dom的查询

没有同源策略限制的接口请求

我们经常用cookie来记住用户的登录信息,如果你请求了接口进行登录,服务端验证通过后会在响应头加入Set-Cookie字段,然后下次再发请求的时候,浏览器会自动将cookie附加在HTTP请求的头字段Cookie中,服务端就能知道这个用户已经登录过了。由于没有同源策略的限制,它向淘宝发了个请求!然后淘宝就会在响应头加入Set-Cookie字段,这样下次再发请求的时候,浏览器会自动将cookie附加在HTTP请求的头字段中发给钓鱼网站,这样一来,这个不法网站就相当于登录了你的账号。也就是CSRF攻击

题外话,即使有了同源策略限制,但cookie是明文的,还不是一样能拿下来。其实服务端可以设置httpOnly,使得前端无法操作cookie,用来防止XSS攻击

没有同源策略限制的Dom查询

有一个钓鱼网站直接引入了淘宝登录的页面,同时监听你账号密码输入框的事件,这样就直接拿到了你的密码。

<iframe name="yinhang" src="www.yinhang.com"></iframe>

解决方案

现在访问某个系统的所有请求一般都要经过网关,所以在网关微服务配置CORS拦截器就好了。

这种处理方式前端代码不用做任何变化,是最常用的方式

@Configuration
public class GulimallCorsConfiguration {
    @Bean // 添加过滤器
    public CorsWebFilter corsWebFilter() {
        // 基于url跨域,选择reactive包下的
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        // 跨域配置信息
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        // 允许跨域的头
        corsConfiguration.addAllowedHeader("*");
        // 允许跨域的请求方式
        corsConfiguration.addAllowedMethod("*");
        // 允许跨域的请求来源
        corsConfiguration.addAllowedOrigin("*");
        // 是否允许携带cookie跨域
        corsConfiguration.setAllowCredentials(true);

        // 任意url都要进行跨域配置
        source.registerCorsConfiguration("/**", corsConfiguration);
        return new CorsWebFilter(source);
    }
}

XSS攻击

简介

XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的. 比如获取用户的Cookie,导航到恶意网站,携带木马等。

示例

假如有下面一个textbox

<input type="text" name="address1" value="value1from">

value1from是来自用户的输入,如果用户不是输入value1from,而是输入 " onfocus="alert(document.cookie) 那么就会变成

<input type="text" name="address1" value="" onfocus="alert(document.cookie)">

事件被触发的时候嵌入的JavaScript代码将会被执行

攻击的威力,取决于用户输入了什么样的脚本

解决

  1. 将重要的cookie标记为http only, 这样的话Javascript 中的document.cookie语句就不能获取到cookie了.
  2. 只允许用户输入我们期望的数据。 例如: 年龄的textbox中,只允许用户输入数字。 而数字之外的字符都过滤掉。
  3. 对数据进行Html Encode 处理。将其中的"中括号", “单引号”,“引号” 之类的特殊字符进行编码。
  4. 过滤或移除特殊的Html标签, 例如:
qianye_97
关注
专栏目录
同源政策/跨域跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3259
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的url和ajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
CSRF(跨域请求伪造)和XSS跨域脚本攻击)的概念和防范措施
tscn1的博客
03-22 1078
这里写目录标题CSRF(跨域请求伪造)原理:防御cookie的sameSite验证referer和Origin二次验证使用非cookie令牌XSS跨域脚本攻击)存储型XSS反射型DOM型 CSRF(跨域请求伪造) 恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。 原理: 1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。 2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。 防御 cookie的sameSite
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击在web项目中的防范,基于antisamy技术。
【转】浅谈跨域WEB攻击
小荷才露尖尖角
04-08 257
转自http://www.80sec.com/cross_domain_attack.html EMail: rayh4c#80sec.comSite: http://www.80sec.comDate: 2011-04-07From: http://www.80sec.com 0×00 前言 一直想说说跨域web攻击这一概念,先前积累了一些案例和经验,所以想写这么一篇文档让大家了解...
跨域CSRF攻击
王子老师
03-03 905
我们都在奔赴不同的人生,只希望能在赚不到大钱的日子里能赚到比钱更珍贵的东西。 跨域问题 跨域问题发生在,浏览器向后端发起请求之后,后端向前端返回数据的候。通常后端会正常返回数据,但是前端会判断此返回数据的url和第一次访问前端项目url不一样,就会选择拒绝绝收数据,此发生了跨域。这也是浏览器的同源策略所导致的。 跨域主要是指域名、端口、IP不一致, 浏览器的同源策略也避免了一些安全问题。所谓同源是指"协议+域名+端口"三者相同,即便两个不同的域名指向同一个ip地址,也非同源。 如果没有同源策略,比如
Web知识-跨域&XSS&CSRF
HMing的博客
01-23 230
HTTP协议与TCP/IP协议的关系 HTTP的长连接和短连接本质上是TCP长连接和短连接。HTTP属于应用层协议,在传输层使用TCP协议,在网络层使用IP协议。IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,使在网络上的另一端收到发端发出的所有包,并且顺序与发出顺序一致。TCP有可靠,面向连接的特点。 如何理解HTTP协议是无状态的 HTTP协议是无状态的...
跨域web攻击
Luver的博客
08-17 207
跨域资源共享 CORS 详解 浏览器同源政策及其规避方法 常见六大Web安全攻防解析 常见的Web攻击手段
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
IP协议负责网络中的路由和寻址,而TCP协议则...同,掌握跨域XSSCSRF的防范策略,是保障Web应用程序安全的基础。在实际开发中,应根据应用场景选择合适的连接方式,并严格实施安全措施,保护用户数据和系统安全
java架构学习——17. 表单重复提交&防止模拟请求&跨域解决方案&XSS攻击
wmq_fly的博客
02-15 790
一、http长连接与短连接 在HTTP/1.0中,默认使用的是短连接。也就是说,浏览器和服务器每进行一次HTTP操作,就建立一次连接,但任务结束就中断连接。如果客户端浏览器访问的某个HTML或其他类型的 Web页中包含有其他的Web资源,如JavaScript文件、图像文件、CSS文件等;当浏览器每遇到这样一个Web资源,就会建立一个HTTP会话。 但从 HTTP/1.1起,默认使用长连接,用以保...
HTTP长连接与短连接:跨域XSSCSRF解决方案解析
本文将深入探讨Web开发中的高级概念,包括HTTP的长连接与短连接、HTTP协议的无状态性以及跨域XSSCSRF安全问题的解决方案。 首先,HTTP协议是基于TCP/IP协议栈的应用层协议,它利用TCP提供可靠性,IP负责网络...
XSS跨域站点攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml
webCSRF跨站(跨域)请求伪造攻击方式
m0_45406092的博客
02-25 632
文章目录1. CSRF是什么?2. CSRF可以做什么?3. CSRF的原理3.1 举例描述原理3.1.1 示例1:3.1.2 示例2:3.1.3 示例3:4. CSRF的防御4.1 服务端进行CSRF防御4.1.1 token4.1.1.1 Cookie Hashing(所有表单都包含同一个伪随机值):4.1.1.2 验证码4.1.1.3 One-Time Tokens(不同的表单包含一个不同的伪随机值)4.1.2 验证 HTTP Referer 字段4.1.3 在 HTTP 头中自定义属性并验证 1.
XSS跨域脚本攻击)
m0_52244931的博客
10-23 4014
XSS跨域脚本go攻击
XSS跨域请求
qq_48829044的博客
06-19 1131
XSS与同源策略
跨域方法总结
杨森源的博客
12-03 2694
最近面试问的挺多的一个问题,就是JavaScript的跨域问题。在这里,对跨域的一些方法做个总结。由于浏览器的同源策略,不同域名、不同端口、不同协议都会构成跨域;但在实际的业务中,很多场景需要进行跨域传递信息,这样就催生出多种跨域方法。具备src的标签 原理:所有具有src属性的HTML标签都是可以跨域的 在浏览器中,<script>、<img>、<iframe>和<link>这几个标签是可以加载跨
一个跨域请求的XSS
mengxiankon的博客
05-09 646
之前讨论过,在解决post跨域请求,采用iframe+本域代理页的形式,兼容性(当然是包括IE6啦)是最好的。上次提到,代理页面的作用是:执行本域下的回调函数。就是这个原因,给XSS带来了便利。详细说明,请参考一个跨域请求的XSS漏洞     上次也提到,解决这个问题的根本在于杜绝不合法的函数在页面内执行。上次透了一下懒,对函数名就行了包含匹配。过程如下:
1.7 xss之同源策略与跨域访问
weixin_30922589的博客
08-19 209
同源策略: 同源策略 在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制...
跨站脚本攻击(XSS)详解
最新发布
m0_61869253的博客
05-11 1093
XSS(Cross Site Script)攻击,通常指黑客通过"HTML注入"篡改了网页,插入了恶意的脚本,从而在用户浏览网页,控制用户浏览器的一种攻击。一开始,这种攻击的演示案例是跨域的,所以叫做"跨站脚本"。现在是否跨域已经不再重要,但是名字一直沿用下来。XSS长期以来被列为客户端Web安全中的头号大敌。因为XSS破坏力强大,且产生的场景复杂,难以一次性解决。下面举个XSS的例子php?如果用户提交了一段HTML代码alert(/xss/)就会在页面中执行,弹出框显示/xss/。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值