xss和csrf

最新推荐文章于 2024-07-18 10:24:18 发布
最新推荐文章于 2024-07-18 10:24:18 发布
阅读量146 收藏
点赞数
文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41189996/article/details/115087598
版权

XSS(跨站脚本攻击)

  • 在web安全领域中,xss和csrf是最常见的的攻击方式。
  • xss,即Cross Site Script ,是跨站脚本攻击
  • 其原本缩写是CSS,为了和层叠样式表也就是我们常说的CSS有所区分,因而在安全领域叫做XSS。
  • XSS攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私的一种攻击方式
  • 攻击者对网页客户端网页注入的恶意脚本一共包括javaScript,有时也会包含Flash和HTML。有很多方式进行XSS攻击,但他们的共同点为:将一些隐私数据,比如cookie,session发送给攻击者,或者将受害者定向(用特殊图片勾引点击)到一个由攻击者控制的网站,在受害者的机器上进行一些恶意操作。
  • XSS攻击可以分成3类:反射型(非持久型),存储型(持久型),基于DOM

XSS类型

  1. 反射型:攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面
    • 常见案例:在查询类型的输入框输入代码alert('xss')
      ,会弹出提示框
  2. 存储型:代码是存储在服务器中的,如在个人信息或发表文章等地方,加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,每当有用户访问该页面的时候都会触发代码执行,这种XSS非常危险,容易造成蠕虫,大量盗窃cookie(虽然还有种DOM型XSS,但是也还是包括在存储型XSS内)
    • 常见案例:在存储类型的输入框输入代码,当用户每次进入页面都会提示信息
  3. DOM型:客户端的脚本程序可以通过DOM动态地检查和修改页面内容,它不依赖于提交数据到服务器端,而从客户端获得DOM中的数据在本地执行,如果DOM中的数据没有经过严格确认,就会产生DOM XSS漏洞。
    • 和反射型型类似:在输入框插入等HTML标签
  • 解决方法:输入过滤,过滤掉<>输入的标签,注意也要过滤<>标签的转码形式

csrf

  • 含义:伪造请求,冒充用户在站内的正常操作。
  • 我们知道,绝大多数的网站是通过cookie等方式辨别用户的身份,再予以授权。所以要伪造用户的正常操作,最好的方法是通过XSS或欺骗链接等途径,让用户在本机发起用户所不知道的请求。
  • 防范:主要由后台进行验证。
    1. 判断请求头
    2. 添加token验证,并且token信息不能存储在cookie中
    3. 加验证码(登录的时候)
SZR___ __ ___
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
xsscsrf(详解)
qq_62046696的博客
06-30 4113
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1851
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
XSSCSRF两种攻击方式总结
JunDao73的博客
02-16 5764
XSS攻击与CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
XSSCSRF 攻击详解
wangluoanquan111的博客
03-01 1177
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。===XSS,即 Cross Site Script,中译是跨站脚本攻击。其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。
php xsscsrf,简析XSSCSRF 两种跨站攻击
weixin_36081677的博客
03-22 257
XSS:跨站脚本攻击,注入攻击的一种。攻击者利用应用程序的动态展示功能,在HTML页面中嵌入恶意代码。当用户浏览该页时,这些嵌入在html的恶意代码就会被执行,用户浏览器被攻击者控制。。。。1.盗取用户cookie,伪造用户身份2.控制用户浏览器3.结合浏览器及其插件漏洞,下载病毒木马到浏览者的计算机运行4.衍生URL跳转漏洞5.官网挂钓鱼网站6.蠕虫攻击CSRF:跨站请求伪造(冒充用户之手,伪造...
XSSCSRF
qq_43555156的博客
08-20 133
XSSCSRF一、XSS1.定义二、使用步骤1.引入库2.读入数据总结 一、XSS 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 1.定义 XSS的英语全称是Cross-Site Scripting(跨站脚本攻击),因为和CSS同名,为了做出区别,改称为XSS. 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import
XSSCSRF区别和预防方法(图文结合)
weixin_46015250的博客
05-15 424
xsscsrf 参考: 浅说 XSSCSRF · Issue #68 · dwqs/blog (github.com) 前端安全系列之二:如何防止CSRF攻击? - 掘金 (juejin.cn) xss: 跨站脚本攻击.攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等 攻击方式: 反射型:用户访问恶意链接,服务器端接收数据后处理,然后把带有恶意代码的数据发送到浏览器端,浏览器端解析这段带有 XSS 代码的数据后当做脚本执行,获取用户的个人信息。最
XSSCSRF 详解
cuomer的博客
07-14 3671
我们常说的网络安全其实应该包括以下三方面的安全:1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和ddos,拒绝服务和分布式拒绝服务攻击。本文主要讲述xsscsrf的...
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
router_xss_csrf:具有XSSCSRF的安全路由器
03-05
具有XSSCSRF的安全路由器 下载文件“ .htaccess”,并将其放置在应用程序的根目录下。 通常,这是一个名为“ htdocs”或“ www”的文件夹。 下载文件“ router.php”,并将其放置在应用程序的根目录下。 通常,...
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
TokenBasedSafe:一个展示针对XSSCSRF攻击的防护的网站
04-29
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的Reactjs... 该网站用于演示针对XSSCSRF攻击的防护
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
Sortable.js板块拖拽示例
w11111xxxl的博客
07-14 774
ghostClass: 'blue-background-class' // 拖动时元素的样式类。group: 'shared', // 允许与其它具有相同组名的元素交互。-- 引入 Sortable.js 的 CSS 和 JS 文件 -->width: 150px;/* 减少宽度 */height: 70px;/* 设置高度 */-- 引入 Sortable.js 的 JS 文件 -->animation: 150, // 动画速度。// 初始化 Sortable。
ReactRouter v6升级的步骤
feixin369的博客
07-14 422
React Router v6 引入了一个 Routes组件,它有点像Switch,但功能要强大得多。与Switch相比,RoutesReact.lazy。
vue搜索框过滤--- computed、watch区别
学习笔记分享给大家
07-16 336
计算属性computed适用于需要基于其他数据动态变化,并且需要缓存的场景。侦听器watch适用于需要响应数据变化,执行异步或开销较大操作的场景。方法methods适用于定义组件的具体行为,包括事件处理和业务逻辑等。
react 快速入门思维导图
最新发布
weixin_44565776的博客
07-18 135
只要掌握了这些react技能,基本就可以熟练使用react了
自定义 Hooks 在 Vue3 中的应用和重要性
CodeQi技术小栈的博客
07-16 973
自定义Hooks是Vue3提供的一种将可复用逻辑提取到独立函数中的方式。这不仅可以减少代码的重复,还能让你的代码更加清晰易读,维护起来也更加方便。在这篇文章中,我将通过详细的步骤和实例,带你深入了解如何在Vue3中使用自定义Hooks,以及它们在实际项目中的应用和重要性。首先,我们来看一下如何创建一个简单的自定义Hook。在Vue3中,自定义Hook本质上就是一个返回特定功能的函数。让我们从一个简单的计数器例子开始。
xsscsrf的区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用中存在的漏洞,攻击者通过注入恶意的脚本代码到网页中,使得用户在浏览网页时执行该恶意代码,从而达到攻击的目的。XSS攻击可以分为存储型、反射型和DOM型三种形式。存储型XSS攻击是将恶意代码存储到服务器端,当用户访问包含恶意代码的页面时,恶意代码会从服务器端获取并执行;反射型XSS攻击是将恶意代码作为URL参数或表单提交到服务器端,服务器端将恶意代码返回给浏览器并执行;DOM型XSS攻击则是通过修改网页的DOM结构来实现攻击。 CSRF攻击则是利用用户已经登录认证的状态下,诱使用户点击恶意链接或访问恶意网页,从而触发已登录用户的操作。攻击者通过伪造请求,使用户在不知情的情况下执行了非自愿的操作。例如,攻击者可以通过发送包含恶意请求的图片链接或者钓鱼网站来实施CSRF攻击。CSRF攻击的关键在于利用了用户的身份认证信息。 综上所述,XSSCSRF的主要区别在于攻击的目标和实现方式。XSS攻击主要针对网页应用中的漏洞,注入恶意脚本代码;而CSRF攻击则利用用户已登录认证的状态下,伪造请求进行非自愿的操作。为了防范这两种攻击,开发者需要在编写代码时注意输入验证、输出编码以及限制权限等安全措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值