前端安全知识(XSS和CSRF)

最新推荐文章于 2024-04-03 00:05:47 发布
最新推荐文章于 2024-04-03 00:05:47 发布
阅读量337 收藏
点赞数 2
分类专栏: 前端进阶 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38211541/article/details/104286202
版权

一、XSS(跨站脚本攻击)

xss:跨站脚本攻击(Cross Site Scripting)是最常见和基本的攻击 WEB 网站方法,指浏览器中执行恶意脚本, 然后拿到用户的信息进行操作

1、常见的攻击方式

  • 在输入框输入恶意代码(例如评论)
  • 劫持用户的cookie

2、防御方式

  • httpOnly: 在 cookie 中设置 HttpOnly 属性后,js脚本将无法读取到 cookie 信息。
  • 输入检查,一般是用于对于输入格式的检查,例如:邮箱,电话号码,用户名,密码……等,按照规定的格式输入。
  • 将(<、>)这些字符进行编码转换。

二、CSRF(跨站点请求伪造)

csrf:跨站点请求伪造(Cross-Site Request Forgeries),也被称为 one-click attack 或者 session riding。

指的是黑客诱导用户点击链接,打开黑客的网站,然后黑客利用用户目前的登录状态发起跨站请求, 完成一些违背用户意愿的事情(如修改用户信息,删初评论等)。

1、常见的攻击方式

  • 利用已通过认证的用户权限更新设定信息等;
  • 利用已通过认证的用户权限购买商品;
  • 利用已通过的用户权限在留言板上发表言论。

2、防御方式

  • 验证码;强制用户必须与应用进行交互,才能完成最终请求。此种方式能很好的遏制 csrf,但是用户体验比较差。
  • 利用 Cookie 的 SameSite 属性。
  • Referer check;请求来源限制,此种方法成本最低,但是并不能保证 100% 有效,因为服务器并不是什么时候都能取到 Referer,而且低版本的浏览器存在伪造 Referer 的风险。
  • token;token 验证的 CSRF 防御机制是公认最合适的方案。

三、XSS与CSRF的区别

  • 通常来说 CSRF 是由 XSS 实现的,CSRF 时常也被称为 XSRF(CSRF 实现的方式还可以是直接通过命令行发起请求等)。
  • 本质上讲,XSS 是代码注入问题,CSRF 是 HTTP 问题。XSS 是内容没有过滤导致浏览器将攻击者的输入当代码执行。CSRF 则是因为浏览器在发送 HTTP 请求时候自动带上 cookie,而一般网站的 session 都存在 cookie里面。
野生松
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全问题---XSSCSRF
阳光下的冷静的博客
05-09 1213
XSS概念 XSS又称CSS,全称CrossSiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。 XSS的攻击原理 其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户 Cookie、破坏页面的正常结构,插入广告等恶意内容、...
前端安全XSSCSRF
javagty6778的博客
03-07 176
现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。如果以上推荐书籍阅读有困难,那就找自己能看得进的 Web 安全的书。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;但是就目前来看,书籍是比较靠谱的入门资料。当然纸上谈兵终觉浅,最好还是实践一下。### 如何入门网络安全。④50份安全攻防面试指南。⑨历年CTF夺旗赛题解析。②20份渗透测试电子书。③安全攻防357页笔记。⑦100个漏洞实战案例。⑧安全大厂内部视频资源。⑤安全红队渗透工具包。
前端安全XSSCSRF攻击
公众号:前端充电宝
08-02 660
目录1. 什么是XSS ?1.1 概念1.2 攻击方式1.3 危害1.4 分类2. 如何防御XSS?2.1 设置HttpOnly2.2 输入检查2.3 输出检查3. 什么是CSRF ?3.1 概念3.2 攻击方式4. 如何防御CSRF?4.1 验证码4.2 验证Referer4.3 cookie设置sameSite4.4 添加token验证 1. 什么是XSS ? 1.1 概念 XSS,即 Cross Site Script,是指跨站脚本攻击,原本缩应该为CSS,但是为了和层叠样式表(Cascading
前端安全XSSCSRF
mkbird的博客
09-08 1631
相对来说token的用户体验会更好,将token存在我们自己的网页中,只有通过自己的网页发起的请求才能携带token,而只有携带token的请求后端才会响应。更为严重的后果可能是,攻击者用你的账户再次发布了链接,其他用户一旦点开,就会继续中招,形成CSRF蠕虫,不断传播。脚本中创建一个图片,图片中创建一个img,在img的src中将请求地址改为自己的脚本,并附带当前网站的cookie,就可以拿到cookie了。点击搜索,我们会发现,网站"执行了"我们的脚本,这样我们就实现了最简单的xss攻击。
前端安全XSSCSRF
m0_46269977的博客
06-07 333
谈谈你对XSS攻击的理解 什么是XSS攻击 XSS全称是Cross Site Scripting,为了与CSS区分开来,故简称XSS,翻译过来就是跨站脚本 XSS是指黑客往HTML文件或者DOM中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段 最开始的时候,这种攻击是通过跨域来实现的,所以叫跨域脚本,现在插入恶意代码的方式越来越多,所以是否跨域注入脚本已经不是唯一的注入手段了,但是这个XSS名字却一直保留至今 注入恶意脚本可以完成这些事情 窃取cookie 监听用户行为,比如
前端安全CSRFXSS
pz1021的博客
03-30 153
1. CSRF 通常称为跨站请求伪造,英文名Cross-site request forgery缩写CSRF 1.1 攻击原理 实现攻击的两大关键因素: 网站中的某个接口存在这种漏洞 用户确实在A注册网站确实的登录过 1.2 CSRF防御措施 Token验证 Referer验证 隐藏令牌 2. xss XSS (cross-site scrip...
web安全 - xsscsrf
javagty6778的博客
02-19 147
比较常见的一个场景是攻击者在社区或论坛上写下一篇包含恶意 JavaScript 代码的文章或评论,文章或评论发表后,所有访问该文章或评论的用户,都会在他们的浏览器中执行这段恶意的 JavaScript 代码。现在Web安全书籍比较多,因此大家在学习的过程中可以少走了不少的弯路。骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作。阅读永远是最有效的方法,尽管书籍并不一定是最好的入门方式,但书籍的理解需要一定的基础;
安全防范知识点(XSSCSRF、点击劫持、中间人攻击)
远方
03-11 2441
什么是XSS攻击?如何防范XSS攻击?什么是CSP? XSS简单来说,就是攻击者想尽一切办法可以执行的代码注入到网页中。 XSS可以分为多种类型,但是总体上分为两类:持久型和非持久型。 持久型也就是攻击的代码被服务端写入数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会到导致大量正常访问页面的用户都受到攻击。 举个例子,对于评论功能来说,就是防范持久型XSS攻击,因为我可以在评论中输入...
javascript常见100问|知识广度|defer 和 async,preload prefetch dns-prefetch,前端攻击,xss,csrf,ddos,sql注入,csp
最新发布
VAN
04-03 776
/ 的 defer 和 async 属性有何区别。
前端黑客之XSSCSRF
caoxinhui521的博客
08-09 472
XSS:跨站脚本,发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程中出现了不被预期的脚本指令并执行时,XSS就会发生。 绝大多数XSS攻击都会采用嵌入一段远程或者第三方域上的脚本资源。任何安全问题都有“输入”的概念,很多时候输入的内容长度是有限制的。真正的XSS攻击弹出窗无意义。一般会注入类似 这样做的好处:攻击代码容易控制 XXS类型
前端XSS攻击和CSRF攻击
weixin_44823731的博客
12-25 530
1.XSS攻击 XSS攻击:(Cross Site Scripting)跨站脚本攻击。在渲染DOM树的过程中执行了不在预期内的js代码,就发生了XSS攻击。 攻击样例:在一些博客网站,发表一篇文章的时候,在文章中加入<script>alert('XSS攻击')</script>这种用script标签包含着的js语句。发表成功之后,当别人访问你的这篇文章的时候,就会自动执行alert('XSS攻击')这段代码。这样就属于xss攻击。更严重的,就在script标签中,获取你的cookie
前端基础-安全CSRFXSS
dzqxwzoe的博客
02-07 294
CSRF攻击是攻击者利用用户的身份操作用户帐户的一种攻击方式,通常使用Anti CSRF Token来防御CSRF攻击,同时要注意Token的保密性和随机性。比如:有人冒充你问你爹要钱,你爹怀疑他了,所以问他几个问题,比如你几岁还尿床。用这些问题来判断冒充者是不是你。
前端安全XSSCSRF
qq_57334853的博客
07-29 800
XSS(Cross-site scripting)跨站脚本攻击: 用户在页面渲染数据时注入可运行的恶意脚本 目的是盗用cookie,获取敏感信息,得到更高权限
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1859
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
前端攻击之xsscsrf
baibaider的博客
03-19 740
被动攻击:   诱发用户触发陷阱启动发送。 利用用户身份攻击企业内部网络。 主动攻击:   攻击者直接访问web应用,就能发起对web应用的攻击,比如sql注入(对数据运行非法sql产生的泄露机密信息)和os命令注入(通过程序运行非法操作系统指令,在能调用shell函数的地方,因为web通过shell来调用操作系统指令)。 xss:(Cross Site Scripting,为了区别于c...
前端安全XSSCSRF讲解
曹定栓的博客
08-07 1777
XSS 全称Cross Site Scripting,名为跨站脚本攻击。为啥不是单词第一个字母组合CSS,大概率与样式名称css进行区分。
前端安全-关于XSSCSRF
weixin_45460053的博客
08-27 153
XSS 跨站脚本攻击 CSRF 跨站请求伪造 1.XSS: 浏览器向服务器请求的时候被注入脚本攻击 类型: 1.反射型(非持久型):攻击者通过从url中输入XSS代码,作为输入提交到服务器端,服务器解析响应,XSS代码随着响应内容传回到浏览器,有浏览器解析执行XSS代码. 2.存储型(持久型):它与反射型不同的是,存储型会注入到服务器数据库中,从而使普通用户的每次请求都具有XSS代码,从而具备了扩散性. 3.基于DOM型:通过DOM来动态修改页面内容,从客户端获得DOM中的数据并在本地执行. 防范措施: 1
前端安全类问题 CSRFXSS
weixin_43026567的博客
10-25 191
CSRF 跨站请求伪造,Cross-site request forgery 缩写为CSRF。 也就是说如果你登陆了A网站,有session保存在浏览器,通过恶意网站B的连接你又打开了网站A并且发送了攻击者设定好的内容,导致进行了一些非你本意的操作(比如转账、发送邮件之类的)。 防御方法 通过 referer、token 或者 验证码 来检测用户提交。 尽量不要在页面的链接中暴露用户隐私信息。...
淘宝网前端安全入门:XSSCSRF防范详解
前端安全概览及防范是一份由明城分享的淘宝网PPT,主要针对前端开发人员提供入门级别的前端安全知识。该文档涵盖了前端开发中常见的安全威胁,特别是跨站脚本攻击(XSS)、跨站请求伪造(CSRF)以及点击劫持...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值