前端安全之XSS和XSRF攻击,及其解决方案

已于 2022-12-13 18:39:54 修改
阅读量681 收藏
点赞数
分类专栏: 网络安全 文章标签: web安全 前端
于 2022-12-13 17:14:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38361229/article/details/128303339
版权

xss攻击:

Cross Site Scripting:跨站脚本
(不用CSS,是因为CSS已经代表了样式。而X有未知和扩展的含义。)

通过document.cookie获取用户的cookie,解决方案:重要的cookie要HttpOnly请求(cookie随着请求自动发送)才可以获取。通过document.cookie代码,无法获取到HttpOnly的cookie。(下图中,Secure打√,表示该cookie只在https请求下生效)。
在这里插入图片描述

XSRF攻击:

又名:CSRF
Cross-Site Request Forgery
跨站请求伪造
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
CSRF实现流程如下:
在这里插入图片描述
解决方案:2步验证:人脸验证+手机验证码验证

CSRF怎么防御?

  1. referer
  2. cookie hashing
  3. token
  4. 二次验证
  5. WAF
tyy扬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRF漏洞原理攻击与防御(非常细)
dzqxwzoe的博客
07-18 2320
CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。
XSS和CSRF的简单了解
我在长安长安
05-24 719
XSS全称为跨站脚本攻击,其特点是不对浏览器造成任何伤害,而是通过一些正常的站内交互途径,例如在网站的URL中加入javascript脚本,或者在发布评论的时候,提交含有javascript的内容文本。这个时候如果服务器没有过滤掉这些文本,当这些内容发布到了页面上,则其他用户访问这个页面时就会运行这些嗯脚本了。运行预期之外的脚本带来的后果又很多,假如注入了一段严重的错误的javascript脚本,...
XSS、CSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
最新发布
VN520的博客
03-25 1180
XSS(Cross Site Scripting):跨域脚本攻击
XSS攻击以及java应对措施
qq_43456605的博客
05-18 5086
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点。在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,又时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入 CSP、Same-Site Cookies 等新技术来增强安全性,但是仍存在很多潜在的威胁,这需要前端技术人员不断进行 “查漏补缺”。XSS 全称 Cross Site Scripting,跨站脚本攻击
XSS攻击绕过方法大全,XSS攻击技巧,收集100种绕过方法分享(2024最新)
白帽黑客八哥的博客
12-12 4410
尽管许多网站实施了输入过滤措施来防止跨站脚本(XSS攻击,但在特定条件下,经过精心编码的脚本仍有可能实施XSS注入。本文旨在为专业的安全测试人员提供一个跨站脚本漏洞的检测指南。
vue项目前端解决xss攻击方案
baogeprh的博客
12-15 9921
项目中input框中添加验证方法 // 通过下面正则表达式验证 export function isSpecialCharacter (s) { let regEn = /[`~!@#$%^&*()_+<>?:"{}.\/;'[\]]/im let regCn = /[·!#¥(——):;“”‘、|《。》?、【】[\]]/im if (regEn.test(s) || regCn.test(s)) { return true; } else { ret
前端安全XSS攻击
02-25
XSS(cross-sitescripting跨域脚本攻击攻击是最常见的Web攻击,其重点是“跨域”和“客户端执行”。有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-...
前端安全系列:如何防止XSS攻击
02-25
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端人员在日常开发中不断预防和修复安
Web安全XSS攻击与防御小结
02-23
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击...
WEB安全XSSXSRF介绍及防御手段
及时行乐
10-11 641
XSS 跨站脚本攻击(cross site scripting) XSS攻击分为:反射型、存储型、DOM型 反射型 利用页面缺陷,执行脚本,从而获取用户信息。 比如:页面获取用户输入信息(用户输入),服务端未经过字符串转义或处理,直接返回到客户端。 浏览器就很容易受到XSS攻击,比如可以在页面添加脚本,把用户Cookie信息发送到黑客服务器上。这样黑客就可以获得用户登录态,进行模拟登陆。 存储型 ...
什么是CSRF攻击,以及如何防御
weixin_41359273的博客
04-14 8609
什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie给前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
CSRF / XSRF(跨站请求伪造),XSS/CSS(跨站脚本攻击
m0_59070120的博客
09-20 626
你可以这么理解 CSRF 攻击攻击者盗用了你的身份,以你的名义进行恶意请求。它能做的事情有很多包括:以你的名义发送邮件、发信息、盗取账号、购买商品、虚拟货币转账等。* 4、危险网站中存在恶意代码,代码为发送一个恶意请求(举例:购买商品/余额转账)* 2、登录成功后在浏览器产生信息存储(举例:cookie)* 6、淘宝验证请求为合法请求(区分不出是否是该用户发送)* 3、用户在没有登出淘宝的情况下,访问危险网站。* 5、携带刚刚在浏览器产生的信息进行恶意请求。* 1、浏览并登录信任网站(举例:淘宝)
XSRF CRFS(跨站请求伪造,单点登录攻击) 特点和原理
twinkle的博客
01-06 1149
CSRF 特点和原理 CSRF:Cross Site Request Forgery,跨站请求伪造 概念:跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 本质是:恶意网站把正常用
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1844
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
C# AntiForgeryToken防XSRF漏洞攻击
一切皆有联系
08-08 9398
XSRF:跨站请求伪造 XSRF即在访问B站点的时候,执行了A站点的功能。 比如: A站点登录后,可以修改用户的邮箱(接口:/Email/Modify?email=123),修改邮箱时只验证用户有没有登录,而且登录信息是保存在cookie中。 用户登录A站点后,又打开一个窗口访问B站点,如果这时B站点内嵌入了一条链接http://www.A.com/Email/Modify?email=123
csrf漏洞防御方案_CSRF 漏洞原理详解及防御方法
weixin_35474374的博客
01-14 2920
跨站请求伪造:攻击者可以劫持其他用户进行的一些请求,利用用户身份进行恶意操作。例如:请求http://x.com/del.php?id=1是一个删除ID为1的账号,但是只有管理员才可以操作,如果攻击者把这个页面嵌套到其他网站中“http://x.com/del.php?id=1”> 再把这个页面发送给管理员,只要管理员打开这个页面,同时浏览器也会利用当前登陆的这个管理账号权限发出:http:...
Web 前端安全问题 - XSS、CSRF、界面操作劫持
lhz_333的博客
03-19 3676
XSS、CSRF、界面操作劫持
前端安全XSSXSRF
沛沛呀、
05-19 334
安全 问题:常见的web前端攻击方式有哪些 XSS跨站请求攻击 XSRF跨站请求伪造 XSS跨站请求攻击 博客前端界面嵌入script脚本 脚本内容:获取cookie发送到服务器(服务器配合跨域) 发布博客,有人查看,可以轻松获取查看人的cookie信息 XSS预防 替换特殊字符。例如:<变成&It;>变成&gt,那么script就不会作为脚本执行 可以使用https://www.npmjs.com/package/xssxss工具 XSRF跨站请求伪造(类似于钓鱼
关于HTML 代码注入,XSS攻击问题解决
热门推荐
帅大叔的博客
10-19 3万+
大部分的网站一般都有评论功能或留言功能,或类似可以让用户写东西的地方。如果后台不经过处理,又把数据返回前端,这就会出问题了。网页解析器会把用户的信息也当成html代码给解析了。如果用户写的是一些恶意的 js 脚本这是很危险的。专业术语叫:XSS 攻击一、举个例子:假设后台和前台都没有对用户的信息,进行处理。我们输入如下的代码:<script> var body= document.body;
前端安全】JavaScript防XSS攻击
05-23
XSS(Cross-site scripting)攻击是指攻击者利用Web应用程序没有对用户提交的数据进行足够的验证和过滤,从而在Web页面中注入恶意脚本,当用户访问这些页面时,这些恶意脚本就会被执行,从而达到攻击者的目的。 为了防止XSS攻击,我们可以采取以下措施: 1. 对用户输入的数据进行过滤和验证,过滤掉不符合规范的输入,比如特殊字符、敏感词等。 2. 对用户输入的内容进行转义,将特殊字符转化为它们的HTML实体,比如将`<`转义为`<`,将`>`转义为`>`等。 3. 不要使用`eval()`函数或`innerHTML`属性等动态执行JavaScript代码的方法,因为这些方法会将字符串作为JavaScript代码执行,如果字符串中含有恶意代码,就会被执行。 4. 使用HTTP-only Cookie,可以防止cookie被JavaScript读取,从而防止cookie被盗用。 5. 在HTTP响应头中设置`X-XSS-Protection`,这可以告诉浏览器启用内置XSS过滤器,从而防止XSS攻击

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值