前端安全之XSS和XSRF攻击,及其解决方案

已于 2022-12-13 18:39:54 修改
阅读量789 收藏
点赞数 1
分类专栏: 网络安全 文章标签: web安全 前端
于 2022-12-13 17:14:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38361229/article/details/128303339
版权
本文详细介绍了两种常见的Web安全攻击方式:XSS(跨站脚本)和CSRF(跨站请求伪造)。XSS攻击可通过document.cookie获取用户的cookie信息,而设置cookie为HttpOnly可以有效防止此类攻击。CSRF攻击则利用已登录用户的权限发起非预期操作,常见防御手段包括二次验证等。
摘要由CSDN通过智能技术生成

xss攻击:

Cross Site Scripting:跨站脚本
(不用CSS,是因为CSS已经代表了样式。而X有未知和扩展的含义。)

通过document.cookie获取用户的cookie,解决方案:重要的cookie要HttpOnly请求(cookie随着请求自动发送)才可以获取。通过document.cookie代码,无法获取到HttpOnly的cookie。(下图中,Secure打√,表示该cookie只在https请求下生效)。
在这里插入图片描述

XSRF攻击:

又名:CSRF
Cross-Site Request Forgery
跨站请求伪造
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
CSRF实现流程如下:
在这里插入图片描述
解决方案:2步验证:人脸验证+手机验证码验证

CSRF怎么防御?

  1. referer
  2. cookie hashing
  3. token
  4. 二次验证
  5. WAF
前端安全xssxsrf
qq_41801117的博客
03-27 4492
提到前端安全,往往离不开xss(跨站脚本攻击)、xsrf(跨站伪造请求),在此记录一下关于前端安全的学习过程。 什么是xss? 跨站脚本攻击(Cross Site Scripting),为了不css(层叠样式表)混淆,故记为xss。其原理是利用用户对某个指定网站的信任,被恶意用户进行了web攻击(通常这种攻击会利用js实现)。 简单攻击场景 某用户A逛网站时发现某可以分享文章的论坛,非常感兴趣,写下以下文章 用户A:你好,我是用户A,<script>alert(3)</script&gt
前端安全XSSCSRF
yangyang的专栏
07-09 1163
1.概念 XSS:Cross Site Script,中译是跨站脚本攻击 CSRF:Cross-site request forgery,中文为跨站请求伪造 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。 CSRF是一种劫持受信任用户向服务器发送非预期请求的攻击方式。通常情况下,C...
注意安全XSS XSRF
weixin_33696822的博客
05-15 142
[Tips] 本文是从 jianshu 平台重新修改编辑后移植来的,比上一版本做了些修订。最近在看一些关于网络安全的问题,当然许多是跟前端相关的,包括且不局限于xssxsrf 了,那么小编就结合最近的学习实践谈一些粗浅的认识。(\(^o^)/,我是一个喜欢做实验的家伙)XSS (Cross Site Script)跨站脚本攻击XSS 意思就是跨站脚本攻击。这里面也涉及到跨域的问题,特别是在后面...
前端XSSXSRF攻击与防范
JimmyLLLin的博客
03-02 443
XSS攻击:只要输入的JS在页面中以不符合开发者的预期进行运行都属于XSS攻击。例如:文本框输入、URL输入等 XSS攻击防范: 1.通过转义来解决,使得<script>的"<"或">"转义为其它符号,显示时再由其它符号变回原状。 2.XSS攻击很大程度上是为了获取cookie以盗取登录状态,可以在服务端设置cookie参数http-only使得客户端无法读取cookie...
前端XSS脚本攻击
usejony的博客
12-08 1070
前端 xss 攻击
前端应对xss进攻的一些方法
MrLiber的博客
03-16 2712
一提到前端安全性,必然要考虑到XSS攻击,那我们先来看下什么到底XSS攻击xss攻击:跨站脚本攻击(Cross Site Scripting),为不层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用...
一篇文章把所有前端安全相关的攻击防御都给解决了——XSS攻击CSRF攻击
qq_41040989的博客
03-31 870
CSRF(Cross-site request forgery,跨站请求伪造也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。尽管CSRF听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。
JS的33个概念—前端安全(跨站脚本攻击XSS跨站请求伪造CSRF)
jiaojsun的博客
07-26 1230
1.跨站脚本攻击(XSS) 1)定义 跨站脚本攻击是基于web应用中已知的漏洞,服务端,或者依赖的插件系统。利用其中一种方式,攻击者可以把恶意内容放进目标站点传输的内容中。当这种结合的内容到达客户端的浏览器中,它就已经变成从受信任的来源传输的,然后在系统授权下进行操作。通过寻找把恶意脚本注入web页面的方法,攻击者可以获取对敏感页面的访问权限,例如对session cookie浏览器代表用...
同源政策/跨域与跨域解决策略/web安全攻击CSRF以及XSS
darabiuz的博客
02-11 3288
1.同源策略 1. 什么是同源 同源策略是浏览器安全的基石,当前网页的urlajax请求地址的url必须同源,它要求协议、域名、端口号三者必须相同,只要有一处不同就属于跨域 2. 为什么要有同源策略 想象这样一个场景,你登录并信任了一个购物网站A,然后在没有退出的情况下登陆了恶意网站B,由于浏览器携带了cookie信息,那么B就可以冒充用户向A网站发送请求,比如购买物品之类的违背用户预期的恶意行为,带来严重影响,这其实也就是平时所说的CSRF攻击(具体见下文对于CSRF的介绍),由来同源策略以后,主要限制
springboot+thymeleaf实现如何防御XSS、SQL注入、SCRF、防盗链攻击
qq_37894645的博客
12-30 1424
Web安全常见攻击手段 XSS、SQL注入、防盗链、CSRF、上传漏洞 一、 XSS攻击 什么是XSS攻击手段 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发送给黑客服务器端。 表单提交数据 下面由 thymeleaf + spring Boot 2.2.4 代码实现: 1、省略创建maven工程步骤 2.、修改pom.xml <parent> <groupId>org.spr
前端安全系列:如何防止XSS攻击
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的XSS、CSRF等安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化发展,不断引入CSP、Same-SiteCookies等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行“查漏补缺”。近几年,美团业务高速发展,前端随之面临很多安全挑战,因此积累了大量的实践经验。我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防修复安
XSSXSRF
yellowfish222的博客
08-07 428
**XSS(跨站脚本攻击)**:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话cookie等各种内容。 **XSRF跨站请求攻击**:简单地说,是攻击者通过一些技术手段欺骗用户的...
浅谈如何防御xss攻击
xj28555的博客
07-23 568
笔前闲聊 最近都在写一些防守型文章,是因为笔者在最近的学习当中发现一些当初以攻击者角度学习的知识在某些特殊的场合下会表现的有点不够全面,总是感觉某些知识点联系不在一起,所以最近总是写一些防御型文章来把一些知识加强理解,在脑子里形成自己的知识脑图。 认识xss 首先还是来了解什么是xss,师傅们对这个东西估计也挺熟的啦,我就直接上百度了。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页...
前端常见的Web攻击XSS、CSRF】
qq_53058639的博客
01-03 1250
通过存在的安全漏洞的web网址用户的浏览器内运行非法的本站点的HTML标签或者JS的一种方式。换句话来说,就是在该页面内运行不是该页面的js或者html代码的一种攻击
前端安全XSS攻击与防御策略
最新发布
天涯学馆
05-13 1953
XSS(Cross-Site Scripting)攻击前端安全中的一个重要问题,它发生在攻击者能够注入恶意脚本到网页中,这些脚本在用户浏览器中执行时可以获取用户的敏感信息,例如会话令牌、个人信息等。
XSRF攻击与防范
dingbenji5337的博客
12-27 387
官方定义 CSRF(Cross-site request forgery跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而XSRF则通过伪装来自受信任用户的请求来利用...
xss漏洞
A_Alger的博客
09-04 389
XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还其他攻击方式同时实 施比如SQL注入攻击服务器数据库、Click劫持、相对链接劫持等实施钓鱼,它带来的危害是巨 大的,是web安全的头号大敌 实施XSS...
XSS及CSRF攻击防御
热门推荐
zl的博客
08-17 1万+
一、概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF; 二、XSS 什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于...
前端XSS攻击场景与Vue.js处理XSS的方法:vue-xss
zhangzuying的博客
12-21 5547
前端开发中,跨站脚本攻击XSS)是一种常见的安全威胁。本文将介绍前端跨站脚本攻击XSS)的场景以及在Vue.js框架中如何处理XSS的方法。通过了解这些内容,我们可以更好地保护前端应用程序的安全性,防止恶意攻击。一个开箱即用的Vue.js插件,可通过简单的方式防止XSS攻击
前端安全:深度解析如何防止XSS攻击
"前端安全系列:如何防止XSS攻击?" 在前端安全领域,XSS(Cross-Site Scripting,跨站脚本)攻击是一种常见的安全威胁,它允许攻击者在用户的浏览器中执行恶意脚本,从而获取敏感信息或者操纵用户界面。本文将深入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值