XSS,CSRF,SSRF三种漏洞的区别和共同点

最新推荐文章于 2025-03-11 17:55:16 发布

白帽梦想家

最新推荐文章于 2025-03-11 17:55:16 发布

阅读量1w

点赞数 7

分类专栏： web安全文章标签： XSS CSRF SSRF

本文链接：https://blog.csdn.net/sdb5858874/article/details/80896784

版权

web安全专栏收录该内容

21 篇文章

订阅专栏

以下言论均是个人在学习过程中总结而来，仅代表个人观点，由于博主也是web安全初学者，所以发表的观点很可能会存在一些错误或者有些不严谨的地方，如果您觉得哪里说的不对或者不合适，请随时在下方留言，希望能跟大家能够一起学习、进步，感谢。

个人总结：

相同点：

XSS，CSRF,SSRF三种常见的Web服务端漏洞均是由于，服务器端对用户提供的可控数据过于信任或者过滤不严导致的。

不同点：

XSS是服务器对用户输入的数据没有进行足够的过滤，导致客户端浏览器在渲染服务器返回的html页面时，出现了预期值之外的脚本语句被执行。

CSRF是服务器端没有对用户提交的数据进行随机值校验，且对http请求包内的refer字段校验不严，导致攻击者可以利用用户的Cookie信息伪造用户请求发送至服务器。

SSRF是服务器对用户提供的可控URL过于信任，没有对攻击者提供的RUL进行地址限制和足够的检测，导致攻击者可以以此为跳板攻击内网或其他服务器。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

白帽梦想家

关注关注

7
点赞
踩
34

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

渗透测试面试题

千寻的博客

12-31

11万+

渗透测试面试题一.思路流程 1.信息收集服务器的相关信息（真实ip，系统类型，版本，开放端口，WAF等）网站指纹识别（包括，cms，cdn，证书等），dns记录 whois信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等）子域名收集，旁站，C段等 google hacking针对化搜索，pdf文件，中间件版本，弱口令扫描等扫描网站目录结构，爆后台，网站banner，测试文件，...

SSRF与CSRF

qq_48829044的博客

06-19

1818

ssrf的基础知识

参与评论您还未登录，请先登录后发表或查看评论

XSS、CSRF、SSRF

网络安全知识分享

09-22

8783

XSS、CSRF、SSRF相同不同修复方式面试题：相同不同相同点： XSS，CSRF,SSRF三种常见的Web服务端漏洞均是由于，服务器端对用户提供的可控数据过于信任或者过滤不严导致的。相同点： XSS，CSRF,SSRF三种常见的Web服务端漏洞均是由于，服务器端对用户提供的可控数据过于信任或者过滤不严导致的。不同点： XSS是服务器对用户输入的数据没有进行足够的过滤，导致客户端浏览器在渲染服务器返回的html页面时，出现了预期值之外的脚本语句被执行。 CSRF(跨站请求伪造)是服务器端没有对用户

前端安全漏洞 XSS 与 CSRF 异同

杏子

05-23

2678

前端安全漏洞 XSS 与 CSRF 异同一、前言二、相同点三、区别一、前言前面有写过前端安全漏洞之 XSS 与前端安全漏洞之 CSRF 的文章，本着程序员开发宗旨低内聚的原则，这里另出一遍文章讲讲两者之间的相同点和区别。二、相同点既然是前端安全漏洞，肯定就是前端脚本的攻击，主要都是通过 a 标签和 iframe 标签的 href 属性，img 标签的 src 属性等途径进行攻击。两...

【2025版】最新SSRF漏洞利用指南，从零基础到精通，收藏这篇就够了！

最新发布

logic1001的博客

03-11

943

可以说SSRF的概念和使用代理或者VPN是一样的，用户会向某个资源发起请求，然后代理或者VPN Server会向那个资源发起请求，然后将结果返回给用户。SSRF 可以做很多事情，比如：本地/远程端口扫描本地文件读取（使用file://）与内部应用/服务/网络交互通过在内部网络上链接服务来进行 RCE读取云元数据（AWS、Azure、Google Cloud、Digital Ocean 等）反射 XSS/CSRF。

白帽子（4）-csrf，ssrf, xss的区别

CPriLuke的博客

12-20

619

XSS攻击过程攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 攻击者获取受害人的cookie → 完成攻击攻击者：需要登录到后台完成攻击 CSRF攻击过程攻击者发现xss漏洞 → 构造代码 → 发送给受害人 → 受害者打开 → 受害者执行代码 → 完成攻击总结： CSRF攻击者只负责构造代码，攻击由用户实现，CSRF少了cooke获取的步骤，为什么少了呢？因为受害人在执行恶意代码的时候就已经外成了攻击，而攻击者并没有参与进来 ...

一篇文章读懂XSS、CSRF和SSRF的异同

weixin_44681434的博客

01-23

1922

写在前面首先一起回顾一下这三种漏洞的定义 XSS是黑客通过“HTML”注入篡改网页，插入了恶意脚本，当用户在浏览网页时，实现控制用户浏览器行为的一种攻击方式。 CSRF是指利用用户已登录的身份，在用户毫不知情的情况下以用户的名义完成的操作； SSRF是指攻击者能够从易受攻击的web应用程序发送精心设计的请求包对其他网站进行攻击。三者异同 XSS和CSRF的相同点，它们都是利用浏览器发送数据包，而SSRF是在服务器上执行让服务器偷偷发送数据包；另外，CSRF和XSS都会利用到Cookie，但CSRF是利用

csrf和ssrf的区别，攻击如何防护

白帽子凯哥聊黑客

12-14

2905

CSRF（跨站请求伪造）和SSRF（服务器端请求伪造）都是网络安全中的常见攻击类型，但它们的目标和攻击方式有所不同。理解这两种攻击的区别对于有效地防御它们至关重要。CSRF和SSRF的主要区别在于攻击的发起者和目标。CSRF利用了用户的浏览器来攻击用户已经认证的Web应用，而SSRF直接利用了服务器端应用来发起对其他系统的请求。两者都需要通过严格的输入验证和适当的安全措施来防御。目标：CSRF攻击目标是利用网站用户的浏览器，迫使用户在已认证的Web应用中执行非预期的操作。工作原理：攻击示例：防御措施：目标

Vue.js安全性提升：防御XSS攻击与CSRF漏洞的专家指南

本文全面探讨了Vue.js框架中的安全基础及其应用实践，重点分析了XSS和CSRF两种常见网络攻击的机制与防御策略。文中不仅详细介绍了XSS攻击的原理，包括反射型、存储型和DOM型XSS，并提出了有效的防御措施，例如内容...

CSRF漏洞分享笔记

2301_76622364的博客

11-27

870

合法的路由甲登陆网站A，登陆成功后，服务器返回一个存有用户登陆信息的cookie存储在浏览器中，然后未退出网站A，又打开一个标签网页访问网站B，网站B接收到合法路人甲请求，而网站B存在一个恶意代码返回给路人甲邀请访问网站A，而网站A认为该恶意请求是合法路人甲发出的，所以会以路人甲的cookie信息处理该请求，导致了恶意代码的执行。2、把请求包发送Intreder，进行爆破，在设置里面找到检索-提取，选择添加，搜索value，找到token值，选中，确定。

网络安全自学篇之Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具

bluemoon_0的博客

03-17

1210

网络安全自学篇之Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具

Django.http CSRF防御详解：Web应用安全防护的5个关键步骤

CSRF（跨站请求伪造）是一种攻击者利用用户身份向网站发送非预期请求的网络攻击方式。在Python的Django Web框架中，CSRF防御是保障应用安全的重要组成部分。开发者通过内置的机制来防范CSRF攻击，从而保护网站和用户...

一文了解XSS，CSRF，SSRF的区别

allintao的博客

03-02

3295

本文章主要简单介绍一下关于XSS,CSRF,SSRF的区别

XSS、CSRF 和 SSRF 的区别

m0_57836225的博客

10-10

873

在网络安全领域，XSS（通常指 XSS，即跨站脚本攻击）、CSRF（跨站请求伪造攻击）和 SSRF（服务器端请求伪造攻击）是常见的安全漏洞类型。下面我们来详细了解它们之间的区别。

XSS，CSRF，SSRF 之间的区别

weixin_61315501的博客

09-23

1197

alert(1)

CSRF和SSRF原理、区别、防御方法

2301_76786857的博客

12-26

2710

它是一种利用用户在已登录的网站中提交非法请求的行为，攻击者通过伪造用户提交的请求，将恶意请求发送至受信任的网站，导致用户在不知情的情况下执行恶意操作。两者区别：CSRF是用户端发起请求，攻击者利用用户的Cookie信息伪造用户请求发送至服务器；而SSRF是服务端发起的请求，攻击者通过构造指定URL地址获取网页文本内容、加载指定地址的图片、下载等方式，利用存在缺陷的Web应用作为代理攻击远程和本地的服务器。5.限制请求的端口为http常用的端口，例如80、443、8080、8090等；

CSRF与SSRF比较

RMC131的博客

04-13

1485

因其是由服务器端发起的，所以能够请求到与服务器相连但与外网隔离的**内部系统。与XSS比较，XSS攻击是跨站脚本攻击，CSRF是跨站请求伪造，也就是说CSRF攻击不是出自用户之手，是经过第三方的处理，伪装成了受信任用户的操作。XSS是让用户触发恶意代码，实际的操作还是用户本身进行的，只是用户是无意识的。要伪造用户的操作最好的方法还是使用XSS或链接引导等，让用户在无意识的情况下完成操作。地址过于信任，没有经过严格的检测，导致攻击者以此为跳板攻击其他服务器或内网。，向服务器发送请求。是服务器对用户提供的。

CSRF与SSRF

hanjinming110的博客

11-01

1520

介绍CSRF和SSRF

CSRF漏洞与SSRF漏洞

默默的博客

05-08

1369

中文简称：跨站请求伪造，重点主要是在跨站以及伪造两个上。攻击者盗用你的身份，以你的名义发送恶意请求。CSRF是跨站请求伪造，不攻击网站服务器，而是冒充用户在站内的正常操作。存在原因：通常是由于服务端没有对请求头做严格过滤引起的。后果：CSRF会造成密码重置，用户伪造等问题，可能会引发严重后果。这段代码根据请求的内容类型（JSON或表单数据）灵活处理密码变更的请求，提取出必要的参数（用户令牌、新密码、确认密码，以及一个疑似触发变更操作的标志）。