前端安全(前端攻击)

最新推荐文章于 2024-07-18 15:09:36 发布
最新推荐文章于 2024-07-18 15:09:36 发布
阅读量234 收藏
点赞数
文章标签: html5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sweet_heart_time/article/details/107720316
版权
前端安全

一、跨站脚本攻击(XSS攻击)

通常指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,控制用户浏览器的一种攻击。

XSS的分类

1、反射型

原理:反射型XSS,也叫非持久型XSS,是指发生请求时,XSS代码出现在请求URL中,作为参数提交到服务器,服务器解析并响应。响应结果中包含XSS代码,最后浏览器解析并执行。

实现:攻击者通过给用户发送带有恶意脚本代码参数的URL,当URL地址被打开时,特有的恶意代码参数被HTML解析、执行。

2、存储型

原理:一般是攻击者输入的恶意代码“存储”在服务器端,主要是将XSS代码发送到服务器,不管是数据库、内存还是文件系统等。只要受害者浏览包含此恶意代码的页面就会执行恶意代码。

实现:存储型 XSS 一般出现在网站留言、评论、博客日志等交互处。例如:黑客提交了一条包含XSS代码的留言到数据库。当目标用户查询留言时,那些留言的内容会从服务器解析之后加载出来。浏览器发现有XSS代码,就当做正常的HTML和JS解析执行。XSS攻击就发生了。

XSS的防御

浏览器禁止页面的Javascript访问带有HttpOnly属性的cookie。(实质解决的是:XSS后的cookie劫持攻击)如今已成为一种“标准”的做法
输入检查(XSS Filter)让一些基于特殊字符的攻击失效。(常见的Web漏洞如XSS、SQLInjection等,都要求攻击者构造一些特殊字符)
输出检查在变量输出到HTML页面时,使用编码或转义的方式来防御XSS攻击

二、跨站请求伪造(CSRF)

CSRF就是利用你所在网站的登录的状态,以你的名义向网站发送恶意请求。CSRF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等,盗取你的账号,甚至购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全等。

demo:

用户登录自己的博客网站(本地cookie已经保存了登录信息)
攻击者构造一个页面:http://www.a.com/csrf.html
其内容为<img src="http://blog.sohu.com/manage/entry.do?m=deleted&id=156714243" />
使用了一个img标签,其地址指向了删除Iid为156714243的博客文章
然后攻击者诱使用户访问这个页面
用户进去看到一张无法显示的图片,这时自己的那篇博客文章已经被删除了

关键点:

  1. 用户登录受信任网站A,并且在本地生成Cookie。
  2. 在不退出网站A的情况下,访问危险网站B。

CSRF的防御

  1. 增加token(token就是服务端返回给客户端类似sessionid) 在请求中放入攻击者所不能伪造的信息,并且该信总不存在于cookie之中。鉴于此,系统开发人员可以在HTTP请求中以参数的形式加入一个随机产生的token,并在服务端进行token校验,如果请求中没有token或者token内容不正确,则认为是CSRF攻击而拒绝该请求。
  2. 通过Referer识别 根据HTTP协议,在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限的页面的请求都来自于同一个网站。
    中有一个字段叫Referer,它记录了该HTTP请求的来源地址。在通常情况下,访问一个安全受限的页面的请求都来自于同一个网站。
  3. 网站重要操作增加验证码 CSRF攻击过程中,用户在不知情的情况下构造了网络请求,添加验证码后,强制用户必须与应用进行交互。
天蝎墨神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
前端攻击手段有哪些,该如何预防
m0_38066007的博客
05-23 220
XSS Cross Site Scripting 跨站脚本攻击 用户通过某种方式(如输入框、文本编辑器)输入一些内容,其中带有攻击代码(JS 代码)。 该内容再显示时,这些代码也将会被执行,形成了攻击效果。 预防:特殊字符替换(前端或者后端) <!-- 例如用户提交的内容中有: --> <script> var img = document.createElement('img') img.src = 'http://xxx.com/api/xxx?use
前端安全之XSS攻击
02-25
有人将XSS攻击分为三种,分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端...
浅谈前端安全问题 之 XSS攻击 (安全隐患与攻击类型)
赏樱看雪撸代码
09-23 389
XSS攻击之危害 俗称:跨站脚本攻击,顾名思义这个就是针对前端的页面通过js等脚本进行页面的篡改内容,伪造内容等方式进行攻击,从而达到显示错误页面、提交恶意内容、暴露密码等多方面实现不为人知的目的。 攻击类型: 1. 反射型攻击 - URL后缀直接注入 a.模拟在url后面篡改页面展示内容 b.模拟在url后面执行js脚本,实现弹窗 c.模拟在url后面执行js脚本,实现跨站攻击 前提:已启动攻击网站,如下所示: 这样就能很直接的在另一个网页中获取到你的登录态信息了,cookie直接暴露出来了。
前端安全-常见的攻击以及防御
dengxiang4093的博客
09-20 378
1、XSS(CrossSiteScripting)跨站脚本攻击 (1)原理:页面渲染的数据中包含可运行的脚本 (2)攻击的基础类型:反射型(url参数直接注入)和存储型(存储到DB后读取时注入) (3)注入点:   HTML节点内的内容(text);   HTML中DOM元素的属性;   Javascript代码;   富文本 <!--HTML节点内容注...
前端攻击
wjiafengw的博客
10-29 592
参考 ---《白帽子讲web安全》   1:XSS(cross site script),跨站脚本攻击   1.1反射性XSS(将用户输入直接反射在浏览器上) 例子: 用户将参数直接输出在页面上: &lt;?php $input = $_GET("param"); echo "&lt;div&gt;".$input."&lt;/div&gt;"; ?&gt; 正常情况下在UR..
前端常见的攻击
weixin_30498807的博客
03-02 98
参考:https://segmentfault.com/a/1190000006672214?utm_source=weekly&utm_medium=email&utm_campaign=email_weekly#articleHeader14 1、XSS攻击 XSS攻击全称跨站脚本攻击,一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入页面...
web安全前端编码规范1
08-04
本文将详细阐述《Web安全前端编码规范》,旨在提升Web应用的安全性,预防潜在的攻击风险。 一、项目设计阶段的安全考虑 在项目初始设计阶段,安全应被视为核心要素之一。这包括在需求分析和功能规划中考虑到安全...
前端安全:如何防止CSRF攻击
02-24
随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业...我们梳理了常见的前端安全问题以及对应的解决方案,将会做成一个系列,希望可以帮助前端同学在日常开发中不断预防和修复安
前端性能优化与Web安全
08-26
在现代Web开发中,前端性能优化与Web安全是两个至关重要的主题。性能优化关乎用户体验,而Web安全则关乎用户的数据安全。以下将详细介绍这两个领域的关键知识点。 **性能优化** 1. **UI篇**: - 图像处理:根据...
前端安全攻防大全--专注于攻击和防御
qq_45090740的博客
02-04 4720
常见的Web攻击方式 XSS CSRF 点击劫持 SQL注入 OS注入 请求劫持 DDOS 1、XSS Cross Site Scripting 跨站脚本攻击:实际执行另一个网站的脚本 XSS(Cross Site Scripting),跨站脚本攻击,因为缩写和CSS重叠,所以只能叫XSS。跨站脚本攻击是指通过存在安全漏洞的web网站注册用户的浏览器内运行非法的非本站点的HTML标签和JS进行...
web大前端开发中一些常见的安全性问题
热门推荐
在web前端的道路上,越走越远!
08-27 2万+
1  跨站脚本攻击(XSS攻击)         XSS(Cross Site Scripting),跨站脚本攻击。XSS是常见的Web攻击技术之一.所谓的跨站脚本攻击指得是:恶意攻击者往Web页面里注入恶意Script代码,用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击. 解决方案: (1) 输入过滤。永远不要相信用户的输入,对用户输入的数
web安全(1)-- XSS(跨站脚本攻击
TaneRoom的博客
11-01 1205
XSS攻击,通常指黑客通过“html注入” 篡改了网页,插入了恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。其原理是攻击者向有XSS漏洞的网站中输入(传入)一段恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。
前端安全-常见网络攻击方式及其原理与防御方法
MrChkk的博客
07-28 638
前端安全 CSRF/XSRF攻击——跨站点请求伪造 原理: 1、利用客户端登录目标网站后存在的Cookie信息,第三方网站诱导用户在该网站下发起对目标网站服务器的请求。 2、而目标服务端未对请求做过滤或其他防护验证,就使得黑客利用用户的身份,成功完成与服务器的会话请求。 防御: 1、验证HTTP Referer字段:HTTP头中有Referer字段,记录了HTTP请求的来源地址。服务端可以通过验证该字段来判断请求是否是指定URL,而不是第三方网站。 2、HTTP请求头中添加token,token由用户第一次
常见 Web 攻击前端篇)
雪急飞绪博客
08-12 798
XSS Cross Site Scripting(跨站脚本攻击),因为缩写和 CSS 重叠,所以改叫 XSS。跨站脚本攻击是指通过存在安全漏洞的 Web 网址注册用户的浏览器内运行非本站点 HTML 或 JavaScript 进行的一种攻击 跨站脚本攻击可以造成以下影响: 利用虚假输入表单骗取用户个人信息 利用脚本窃取用户的 Cookie 值,被害者在不知情的情况下,帮助攻击者发送恶意请求 显示伪造的文章或图片 XSS 攻击分类 反射型 XSS 反射型:url 参数直接注入 URL 注入非法
「第三章」跨站脚本攻击(XSS)
hacckjacking
01-22 1584
批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs 由于编写过程中无法记录所有的URL 所以如需原文,请自行查询 {……} 重点内容 *……* 表示先前提到的内容,不赘述 「第二篇」客户端脚本安全 0.6本书结构 就当前比较流行的客户端脚本攻击进行了深入阐述,当网站的安全做到一..
HTTP Host 头攻击 -- 学习笔记
angry_program的博客
10-19 1万+
1. HTTPHost头攻击 从HTTP / 1.1开始,HTTP Host标头是必需的请求标头。 它指定客户端要访问的域名。 例如,当用户访问https://portswigger.net/web-security时,其浏览器将组成一个包含Host标头的请求,如下所示: GET /web-security HTTP/1.1 Host: example.net 在某些情况下,例如当请求由代理转发时,Host值可能会在到达预期的后端组件之前进行更改。也就发生了Host头攻击。 2. HT...
前端安全:几种攻击模式
qq_39689241的博客
10-10 464
1.XSS攻击 主要是注入js代码,通过将js代码存入数据库或者通过修改 URL 参数的方式加入攻击代码,诱导用户访问链接从而进行攻击。 防御措施: 对字符串进行转义 通常来说主要针对script标签进行转义 function escape(str) { str = str.replace(/&/g, '&'); str = str.replace(...
HTML5实现好看的天气预报网站源码
xcLeigh
07-18 1637
HTML5实现好看的天气预报网站源码,天气预报大作业,网站源码,天气预报网站,天气预报网站源码,这里可以灵活配置要显示的省市区的天气预报,这里用的是北京、上海、广州、深圳、台湾五个地区的天气预报。免费的数据接口,数据API,童话故事API,笑话API,名言API,提供免费天气预报接口,各种新闻资讯类、生活服务类、趣味娱乐类、功能应用类、知识问答类、数据智能类等API接口数据提供。兼容手机端和PC网页端。各种风格都有,代码上手简单,代码独立,可以直接使用。也可直接预览效果。
LABVIEW TCP通讯调试助手
最新发布
07-29
本文接收如何利用Labview的TCP通讯工具做通讯,这里手把手教各位做一个简单的TCP通讯调试助手,可以局域网互相聊天哦! 具体介绍见下面连接:https://download.csdn.net/download/weixin_41671635/89595897
Web前端安全:XSS与CSRF深度剖析
Web前端安全是一个重要的领域,主要关注的是在Web应用程序中防止恶意攻击和数据泄露。此话题涵盖了多个子主题,包括XSS(跨站脚本)漏洞挖掘与利用、CSRF(跨站请求伪造)、对域和同源策略的理解,以及Content ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值