XSS、CSRF攻击以及预防手段

最新推荐文章于 2024-09-30 21:52:51 发布
最新推荐文章于 2024-09-30 21:52:51 发布
阅读量4.9k 收藏 7
点赞数 3
分类专栏: 浏览器、计算机网络 文章标签: xss csrf web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46658751/article/details/123441204
版权
本文深入探讨了XSS攻击的三种类型及其危害,包括反射型、持久型和DOM型,并介绍了防御XSS的基本原则,如输入验证、HTML实体编码和Http Only cookie。同时,详细阐述了CSRF攻击的原理、过程和实例,提出了通过验证Referer、添加令牌和自定义HTTP头等防御措施。文章最后对比了CSRF和XSS的区别。
摘要由CSDN通过智能技术生成

文章目录

XSS

XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。

恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。
比如获取用户的 Cookie、导航到恶意网站、携带木马等。

攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。
有很多种方式进行 XSS 攻击,但它们的共同点为:将一些隐私数据像 cookie、session 发送给攻击者,将受害者重定向到一个由攻击者控制的网站,在受害者的机器上进行一些恶意操作。

大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。任何输入提交数据的地方都有可能存在 XSS。

XSS攻击可以分为3类:反射型(非持久型)、存储型(持久型)、基于DOM。

反射型

反射型 XSS 只是简单地把用户输入的数据 “反射” 给浏览器,这种攻击方式往往需要攻击者诱使用户点击一个恶意链接,或者提交一个表单,或者进入一个恶意网站时,注入脚本进入被攻击者的网站。

攻击者可以注入任意的恶意脚本进行攻击,可能注入恶作剧脚本,或者注入能获取用户隐私数据(如cookie)的脚本,这取决于攻击者的目的。

持久型

存储型 XSS 会把用户输入的数据 “存储” 在服务器端,当浏览器请求数据时,脚本从服务器上传回并执行。这种 XSS 攻击具有很强的稳定性。

比较常见的一个场景是攻击者在社区或论坛上写下一篇包含恶意 JavaScript 代码的文章或评论,文章或评论发表后,所有访问该文章或评论的用户,都会在他们的浏览器中执行这段恶意的 JavaScript 代码。

DOM型

基于 DOM 的 XSS 攻击是指通过恶意脚本修改页面的 DOM 结构,是纯粹发生在客户端的攻击。

XSS 代码可能是插入简单的<script src="https://test.com/haker.js">,载入第三方的恶意脚本,这些恶意脚本,通常是读取用户的 cookie 。

XSS如何防御?

XSS 漏洞是由于对用户提交的数据没有经

最低0.47元/天 解锁文章
南栀~zmt
关注
专栏目录
CSRF攻击原理与防御方法
墨痕诉清风的博客
02-25 4630
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
2024年Web安全XSSCSRF以及如何防范
2401_84264630的博客
05-02 67
CSRF, 即Cross-site request forgery)中译是跨站请求伪造;CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。
XSSCSRF 以及如何防范
前端开发-陈善强
04-01 799
Web 安全领域中,XSSCSRF 是最常见的攻击方式。 XSS,即 Cross Site Script,中译是跨站脚本攻击; 其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者...
XSS攻击类型以及如何防范
最新发布
youxinm24的博客
09-30 941
输入验证:对所有用户输入进行严格的验证和过滤,防止恶意代码注入。可以使用白名单方式,确保只允许符合预期格式的输入。输出编码对输出内容进行 HTML 实体编码,防止特殊字符被解释为 HTML 或 JavaScript 代码。使用库或框架(如 Vue.js、React 等)自带的安全机制进行安全的 DOM 操作。内容安全策略(CSP):通过设置 CSP 响应头,可以限制浏览器加载和执行的资源类型,从而减少 XSS攻击面。使用安全的 JavaScript 框架。
XSS,CSRF攻击预防
Jiangtagong的博客
08-24 826
一、XSS 1、定义 XSS即(Cross Site Scripting)中文名称为:跨站脚本攻击; 比如在有表单输入的地方,用户输入了类似<script>alert("ok")</script>的东西,而服务器没有经过过滤就保存下来了,别的用户看到网页就会弹出提示框。当然,xss攻击还可以做其他更加复杂的事情。比如,获取cookie什么的。 XSS的重点不是在跨站点,而在于脚本的执行。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意...
一、web安全xss/csrf)简单攻击原理和防御方案(理论篇)
wuli1024的博客
12-28 1484
原理:恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。
什么是CSRF攻击XSS攻击?如何防范?
zxjljl的博客
06-01 381
即跨站请求伪造,是一种利用用户的登录状态,以用户身份进行非法的操作。攻击者通过盗用用户的身份,在用户不知情的情况下完成一些危害性的操作,比如删除账号,发邮件等。攻击者通常会诱骗用户点击带有攻击性的链接,或者注入恶意代码到被攻击网站中,等待用户点击触发。,即跨站脚本攻击,是指攻击者在网页中注入可执行的代码,当用户浏览该网页时,注入的代码会被执行,从而达到盗取用户信息、窃取Cookie、篡改网页等恶意目的的攻击方式。攻击者通常会在提交或传输数据时,利用未经过滤的HTML或JavaScript注入攻击代码。
前端安全CSRFXSS该怎么防御
椰卤工程师的个人博客
11-12 2459
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的时候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击是页面被注入了恶意的代码,利用恶意脚本,攻击者可以获取用户的Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
提升Web安全预防XSSCSRF攻击的策略与测试手段
"不安全的对象引用防止XSS攻击-安全性测试初步接触" ...防止不安全的对象引用以抵御XSSCSRF攻击安全测试的核心内容,开发者和测试人员需要全面掌握这些知识,不断更新防御策略,以应对日益复杂的网络安全威胁。
Web安全XSSCSRF以及如何防范
KaiSarH
05-26 2180
Web安全XSSCSRF以及如何防范
XSSCSRF防范措施
The_upside_of_down的博客
10-21 502
(1)XSS:跨站脚本攻击 攻击方式:在URL或者页面输入框中插入JavaScript代码。 防范: 设置httpOnly,禁止用document.cookie操作; 输入检查:在用户输入的时候进行格式检查; 对输出转义。 (2)CSRF:跨站点伪造请求 攻击方式:攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并执行一些操作(如发邮件,发消息,甚至财产操作如转账...
XSSCSRF攻击防御
weixin_43613849的博客
05-13 822
一、概念 XSS攻击全称:跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求 二、XSS 1、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全
XSSCSRF 原理和基本防御方式
接着奏乐接着舞的博客
08-10 2065
面试向:XSSCSRF 原理和基本防御方式
csrfxss 的网络攻击及防范?
超级罗伯特的博客
04-18 133
击,比如获取 cookie,或者其他用户身份信息,可以分为存储型和反射型,存储型是。CSRF 就产生了,比如这个制造攻击的网站使用一张图片,但是这种图片的链接却是可。CSRF:跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶。XSS:跨站脚本攻击,是说攻击者通过注入恶意的脚本,在用户浏览网页的时候进行攻。造攻击的网站,这个网站要求访问刚刚登陆的网站,并发送了一个恶意请求,这时候。以修改数据库的,这时候攻击者就可以以用户的名义操作这个数据库,防御方式的。
csrfxss 的网络攻击及防范
whose_moon的博客
08-15 125
CSRF: 跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶意请求, 比如用户登录了一个网站后,立刻在另一个tab页面访问量攻击者用来制造攻击的网站,这个 网站要求访问刚刚登陆的网站,并发送了一个恶意请求,这时候 CSRF 就产生了,比如这个制造 攻击的网站使用一张图片,但是这种图片的链接却是可以修改数据库的,这时候攻击者就可以以 用户的名义操作这个数据库,防御方式的话:使用验证码,检查https头部的refer,使用token。 XSS: 跨站脚本攻击,是说攻击者通过注入恶意的脚本,在
csrfxss的网络攻击及防范
weixin_43813718的博客
04-17 435
什么是CSRF(跨站请求伪造) 当用户访问A(信任网站)网站并登录成功时,在用户处产生A的Cookie。这时候用户访问了B(危险网站)网站,当B要求访问第三方站点(A)的时,浏览器会带着用户最开始登录A的时候产生的Cookie访问A,而A网站并不能分辨请求是由用户发出的还是由B发出的,这时候B网站就能模拟用户操作。例如转账等操作 如何防范CSRF攻击 1.使用token 可以在 HTTP 请求中以...
CSRFXSS的网络攻击及防范
Gary Leong
02-19 422
CSRF:跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶意请求,比如用户登录了一个网站后,立即在另一个Tab页面访问量攻击者用来制造攻击的网站,这个网站要求访问刚刚登陆的网站,并发送了一个恶意请求,这时候CSRF就产生了,比如这个制造攻击的网站使用一张图片,但是这种图片的链接却是可以修改数据库的,这时候攻击者就可以以用户的名义操作这个数据库。 防御方式:使用验证码,检查htt...
理解XSSCSRF攻击原理与防御策略
"详解XSSCSRF简述及...理解XSSCSRF攻击的原理,并采取相应的防护措施,对于保障Web应用的安全性和用户数据的隐私至关重要。开发者应该时刻保持警惕,遵循最佳安全实践,定期更新和审计代码,以防止这些常见攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

南栀~zmt

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值