XSS攻击和CSRF(通俗易懂)

最新推荐文章于 2024-05-15 09:43:16 发布
最新推荐文章于 2024-05-15 09:43:16 发布
阅读量328 收藏
点赞数 1
分类专栏: 笔记 网络安全 文章标签: javascript html html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42931285/article/details/120046693
版权
  1. XSS(跨站脚本攻击)
    是指攻击者在返回的 HTML 中嵌入 javascript 脚本,在用户浏览网页的时候进行攻击,比如获取 cookie,或者其他用户身份信息,可以分为存储型和反射型,存储型是攻击者输入一些数据并且存储到了数据库中,这就意味着只要访问了这个页面的访客,都有可能会执行这段恶意脚本,因此储存型XSS的危害会更大。
    反射型的话不存储在数据库中,往往表现为将攻击代码放在 url 地址的请求参数中,也就是攻击相对于访问者而言是一次性的,具体表现在我们把我们的恶意脚本通过url的方式传递给了服务器,而服务器则只是不加处理的把脚本“反射”回访问者的浏览器而使访问者的浏览器执行相应的脚本。也就是说想要触发漏洞,需要访问特定的链接才能够实现。
    为了减轻这些攻击,
    在 HTTP 头部配上set-cookie:
    1、httponly-这个属性可防止XSS,它会禁止 js 脚本来访问 cookie;
    2、 secure - 这个属性告诉浏览器仅在请求为 https 的时候发送 cookie。
    结果应该是这样的:Set-Cookie=…
  2. CSRF:跨站请求伪造
    攻击者盗用用户的身份,以用户的名义向网页发送一些请求,比如修改密码,发送邮件,购买物品等。专业术语来说就是在受害者访问一个网站时,其 Cookie 还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成 CSRF 攻击。防御方式:
    1.验证 HTTP Referer 字段,Referer可以记录上一次请求的来源地址,若黑客向发起CSRF攻击,只能在他们自己的站点构建请求,这两个站点是不一样的。能起到一定作用;
    2.加入验证码;
    3.在请求中加入Anti CSRF Token 并验证;
    4.在 HTTP 的header自定义属性并验证。
_处女座程序员的日常
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
跨站攻击(XSS+CSRF).docx
01-05
总结来说,XSS和CSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1855
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
XSS和CSRF 攻击 --- 通俗易懂的解释
loveapple0927的博客
09-05 230
XSS本质是Html注入,和SQL注入差不多。 1,页面输入框,你写一段sql语句或者url访问,插入进去,让浏览器帮忙带着cookie去跑到自己的建的server上去。。 2,页面输入的脚本X,点save后入库了,比如管理员在页面上load出user输入的数据的时候,脚本X执行了,把管理员的信息通过这段脚本 送给了 攻击人 CSRF https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/ XSS:城门已破,黑客携带各种武器在城内为所欲为 CSR
高效且安全的XSS过滤器:Secure XSS Filters
gitblog_00035的博客
05-15 289
高效且安全的XSS过滤器:Secure XSS Filters 项目地址:https://gitcode.com/YahooArchive/xss-filters 在网络安全日益重要的今天,防止跨站脚本(XSS)攻击是每个Web开发者不容忽视的任务。这就是我们推荐使用Secure XSS Filters的原因,这是一个由Yahoo开发的JavaScript库,旨在提供更安全、快速并符合标准的输出过...
通俗易懂的xss
weixin_30488313的博客
09-16 125
链接 xss防火墙 转载于:https://www.cnblogs.com/dhsz/p/7530501.html
XSS攻击CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
XSS 和 CSRF
sun_cainiao的博客
03-21 742
介绍两种最常见的针对 web 应用的攻击方式。 XSS (Cross-site scripting) 跨站脚本攻击 攻击者能够利用跨站脚本漏洞来绕过访问控制(access control),比如单源策略(same-origin policy)。 单源策略: 如果一个站点的内容有权限访问浏览器上的某些资源(比如 cookie),那么来自这个站点的所有内容都可以共享这些权限。 跨站点脚...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
XSS与CSRF两种跨站攻击总结
02-26
但是,历史同样悠久的XSS和CSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免...
XSS及CSRF
weixin_72626108的博客
11-11 69
我们可以通过在线的xss平台作为第三方工具盗取网站信息,同时也存在一些问题就是我们的渗透测试的过程当中我们获取的网站信息有可能会被这些平台白嫖,还有就是我们在网上下载的xss(或者是其他工具)很有可能是带后门的。自己搭建一个平台一些xss工具(beef演示)如果您在cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,但是并不能防止xss漏洞只能是防止cookie被盗取。
xss篇-本着就了解安全本质的想法,尽可能的用通俗易懂的语言去解释安全漏洞问题...
weixin_34392843的博客
12-31 185
前言 最早接触安全也是从xss攻击和sql注入攻击开始的。 0x01 跨站脚本攻击漏洞(XSS),是客户端脚本安全中的头号大敌,owasp top10 屡居榜首,由于攻击手法较多,开发者水平不一,危害性又往往被人忽视,这就造成了xss普遍的存在。 0x02 xss漏洞本质还是注入攻击的一种,为什么叫跨站脚本攻击,跨站就是不同站之间,脚本攻击呢这里的脚本其实是js脚本,所以只要是...
关于xss和csrf
可以叫我啪叽的石头
09-14 250
XSS xss 是跨网站指令码,是代码注入的一种,它允许恶意使用者将程式码注入到网页上,其他使用者在观看网页时就会受到影响。这类攻击通常包含了 HTML 以及使用者端脚本语言。 攻击方式: XSS 通过修改 HTML 节点或者执行 JS 代码来攻击网站。比如通过 url 来在页面上添加 html 后者 js 文件。 防止: 最普遍的方法,是将输出的内容进行转义,比如对于引号,尖括号,斜杠进行...
WEB前端安全——XSS和CSRF
javagty6778的博客
02-23 120
XSS(Cross-site scripting),指的是跨站脚本攻击,攻击者通过向页面A注入代码,达到窃取信息等目的,本质是数据被当作程序执行。
xss和csrf(详解)
qq_62046696的博客
06-30 4145
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
详解XSS和CSRF
sanlyshi's front-end road
10-28 1747
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
xss和csrf的通俗理解
lmp5023的博客
10-10 197
csrf是用户访问A网站,并且访问B网站,B网站携带攻击性代码,以用户的身份去访问A网站 xss则是在通过在jq加入代码,触发攻击性代码
XSS攻击学习笔记
长源的博客
08-08 771
教程:http://edu.51cto.com/course/5733.html 进行XSS攻击时,常用的HTML标记:<script></script>、<iframe></iframe>、<img />  
sql注入 xss攻击csrf攻击的区别
最新发布
06-13
SQL注入、XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中插入恶意SQL代码,欺骗应用程序执行非...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值