XSS及CSRF攻击原理及防御方法

最新推荐文章于 2024-08-13 17:59:11 发布
最新推荐文章于 2024-08-13 17:59:11 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: spring 网络安全 文章标签: xss攻击 csrf攻击 xss防御 csrf防御

一、概念:
XSS攻击全称跨站脚本攻击(Cross Site Scripting);

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF;

二、XSS
什么是 XSS ?
XSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈里面非常有名的一句话:

所有的输入都是有害的。

这句话把 XSS 漏洞的本质体现的淋漓尽致。大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。任何输入提交数据的地方都有可能存在 XSS。 
XSS 脚本攻击案例: 
新浪微博遭受 XSS 攻击 
人人网遭受 XSS 攻击 
在这里使用一个简单的例子测试XSS:

 
<!DOCTYPE html>
<html lang="zh">
<head>
<meta charset="UTF-8">
<title>测试是否存在xss漏洞</title>
</head>
<body>
<span>输入评论:</span>
<input type="text" value="" placeholder="请输入您的评论" id="comment">
<input type="button" value="提交" id="submit">
<p>
<span>您的评论:</span>
<span id="commentList"></span>
</p>
<script>
document.getElementById("submit").addEventListener("click",function(){
let comment = document.getElementById("comment").value
document.getElementById("commentList").innerHTML = comment
})
</script>
</body>
</html>

转载至:https://blog.csdn.net/zl834205311/article/details/81773511

如有披露或问题欢迎留言或者入群探讨

一页知秋否
关注
专栏目录
CSRF攻击原理防御方法
墨痕诉清风的博客
02-25 4603
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
XSSCSRF、SSRF漏洞的攻击原理以及防御
qq_57307348的博客
02-24 1207
XSS xss:跨站脚本攻击,不需要做任何的登录认证,通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本程序或者攻击者在Web页面里插入恶意script代码,当用户浏览该页之时,嵌入Web里面的script代码会被执行,从而达到恶意攻击用户的目的。 攻击条件 向web页面注入恶意代码 这些恶意代码能够被浏览器成功的执行 攻击原理 xss漏洞的主要原因是程序对输入和输出的控制不够严格,导致“精心构造”的脚本输入后, 在输到前端时被浏览器当作有效...
网络攻击XSSCSRF)详解
程序员世杰
02-20 2858
一、XSS (一)XSS 原理 Xss(cross-site scripting) 攻击:全称跨站脚本攻击,通过向某网站写入 js 脚本或插入恶意 html 标签来实现攻击。 比如:攻击者在论坛中放一个看似安全的链接,骗取用户点击后,窃取 cookie 中的用户私密信息; 或者攻击者在论坛中加一个恶意表单,当用户提交表单的时候,却把信息传送到攻击者的服务器中,而不是用户原本以为的信任站点。 (二...
CSRFXSS攻击原理与防范
lbjbk的博客
09-25 370
CSRFXSS攻击原理与防范 首先呢,说一下csrf 1、概念与原理 CSRF,跨站请求伪造,攻击方伪装用户身份发送请求从而窃取信息或者破坏系统。例如: 用户访问A网站登陆并生成了cookie,再访问B网站,如果A网站存在CSRF漏洞,此时B网站给A网站的请求(此时相当于是用户访问),A网站会认为是用户发的请求,从而B网站就成功伪装了你的身份,因此叫跨站请求伪造。 2、CSRF防范 1、重要数据交互采用POST进行接收,当然是用POST也不是万能的,伪造一个form表单即可破解 2、使用验证码,只要
CSRF攻击原理介绍和利用
最新发布
2201_75735270的博客
08-13 961
</script><script></script>
XSSCSRF 攻击的一些非常规防御方法
杰克拉乌的博客
04-18 335
XSSCSRF 攻击的一些非常规防御方法    一说到安全,大家总会特别敏感,尤其是有相当部分的前端开发者并不了解安全相关的知识,颇有谈虎色变的感觉。具体到前端安全这个话题呢,又有些说不清道不明,因为大部分的防御方案,总少不了后端的参与,也有开发者慢慢觉得好像安全都应该由后端来关注了。    其实不然,起码 XSS CSRF 这一类的安全问题前端是一定要了解它们的原理防御方法的。从防御方法...
XSS 攻击CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 1972
XSS 攻击CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
XSSCSRF的实现原理和防范方法
刘炳全的博客
09-22 976
xss脚本注入 不需要你做任何的登录,它会通过合法的操作(比如:在URL中输入、在评论框中输入),向你的页面注入脚本(可能是就是、HTML代码块等)。 防御: 编码:对用户输入的数据进行HTML Entity编码,把字符串换成转义字符。Encode的作用是将$var等一些字符进行转化,使得浏览器在最终输出结果上是一样的。 过滤:移除用户输入的和事件相关的水性。 CSRF跨域请求伪造 在未退出A网站的情况下访问B,B使用A的cookie去访问服务器。 防御: token,每次用户提交表.
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4895
文章目录XSS反射型持久型DOM型XSS如何防御CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
XSSCSRF、SSRF漏洞原理以及防御方式
Love_Naive的博客
09-03 5353
这里写目录标题XSSXSS攻击原理XSS的防范措施主要有三个:编码、过滤、校正CSRFCSRF攻击攻击原理及过程如下:CSRF攻击的防范措施:SSRFSSRF漏洞攻击原理以及方式SSRF漏洞攻击的防范措施XMLXSSCSRF、SSRF的区别XSSCSRF的区别 XSS XSS(Cross Site Scripting):跨域脚本攻击XSS攻击原理: 不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。 X
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1583
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击原理、特点以及xssCSRF的区别
XSS攻击CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
XSSCSRF原理防御
楚楚梦厦的博客
11-02 3839
1. XSS是什么 Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等 XSS 常见的注入方法: 在 HTML 中,恶意内容以 script 标签形成注入。 在标签的 href、src 等属性中,包含 javascript: (伪协议)等可执行代码。 onload、onerror、onclick 等事件中,注入不受控制代码
CSRF攻击XSS攻击
Nie_XiaoGang的博客
04-13 313
CSRF攻击 什么是CSRF攻击 跨站请求伪造,盗用他人的登录信息发送请求。要实现CSFR攻击需要满足以下条件: 用户登录目标站点,处于登录状态,用户身份验证信息都存储在cookie中,此时访问危险站点就有被攻击的风险 用户的登录的身份验证信息存储在cookie中,黑客就可以在不知道验证信息的情况下盗用用户的cookie完成身份验证。 防护方法: 服务器做接口校验,用户登录后服务器返回一个token给客户端,客户端每次请求时将token放入请求头中提交给服务器校验。 XSS攻击 什么时XSS攻击 跨站脚本攻
CSRF攻击XSS攻击
hu_lanlan的博客
10-16 632
CSRF(Cross-site request forgery):跨站请求伪造攻击者盗用了用户的身份,以用户的名义发送恶意请求,包括:以用户的名义发送邮件,发消息,盗取用户账号。防止措施:(1)检查报文中的Referer参数,确保请求发送自正确的网站。(2)对于任何重复的请求,都需要重新验证用户的身份。(3)创建一个唯一的令牌(Token),将其存在服务端的session中以及客户端的cookie中
【前端安全】一、CSRF攻击XSS攻击
weixin_39307273的博客
03-06 1564
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
前端的CSRF攻击XSS攻击
Alive_tree的博客
08-07 434
1、什么是CSRF攻击 CSRF即Cross-site request forgery(跨站请求伪造),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 假如黑客在自己的站点上放置了其他网站的外链,例如"www.weibo.com/api ,默认情况下,浏览器会带着weibo.com的cookie访问这个网址,如果用户已登录过该网站且网站没有对CSRF攻击进行防御,那么服务器就会认为是用户本人在调用此接口并执行相关操作,致使账号被劫持。 2、如何防御CSRF攻击 1、验证Tok.
csrf攻击xss(万恶之源)
liangkaihuaen的博客
08-05 168
1.可视化图直观 如图所示,用户首先要登录网站,然后网站生成一个cookie,下发给用户。用户禁不住诱惑,访问b网站,然后点击了不该点击的。那么用户就不经意之间进入了a网站。网站通过这种方法,调用bug接口,实现侵犯正义。(添加token认证即可) xss :比如用户在输入框中输入一段script标签,进而实现侵犯。就是类似于这种方法解决放法:转义标签就可以。 ...
js[xss攻击csrf攻击原理以及防御措施]
墨水白云的博客
03-16 948
原理是利用受信任网站A的登录漏洞,危险网站B通过诱导拿到登录状态的Cookie对A网站进行访问,从而达到B网站人员获取用户在A网站的各种信息与相关api操作的目的。用户通过表单输入框等手段输入js脚本,在浏览器或者服务器运行起来从而起到盗用其他用户信息,注入广告等破坏页面结构的行为手段。防御的核心无非就是限制或者对用户输入的内容进行一些专项处理之后在保存或者返回。2.csrf本身是利用网站的登录漏洞攻击xss是提供js代码注入篡改网站攻击。2.在不登出A的情况下,访问危险网站B。
理解XSSCSRF攻击原理防御策略
"详解XSSCSRF简述及...理解XSSCSRF攻击原理,并采取相应的防护措施,对于保障Web应用的安全性和用户数据的隐私至关重要。开发者应该时刻保持警惕,遵循最佳安全实践,定期更新和审计代码,以防止这些常见攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值