【八股系列】说一说XSS攻击和CSRF攻击?

已于 2024-06-21 17:31:39 修改
阅读量748 收藏 20
点赞数 32
分类专栏: 面试题系列 文章标签: xss csrf 前端 javascript
于 2024-05-23 09:11:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/to_the_Future/article/details/139134446
版权

🎉 博客主页:【剑九 六千里-CSDN博客
🎨 上一篇文章:【介绍下语义化,怎样保证代码符合语义化?说说HTML5语义化标签?
🎠 系列专栏:【面试题-八股系列
💖 感谢大家点赞👍收藏⭐评论✍

在这里插入图片描述

在这里插入图片描述

文章目录

1. XSS

1.1 XSS介绍

XSS (Cross-Site Scripting) 攻击是一种恶意的 web 应用攻击手段,它可以让攻击者在用户的浏览器中执行恶意的 JavaScript 代码。XSS 攻击的目的是盗取用户的敏感信息,如 cookiesession 等,或者冒充用户执行未授权的操作

1.2 XSS分类

XSS 攻击可以分为以下几种类型:

  • 反射型 XSS (Reflected XSS):在反射型 XSS 攻击中,攻击者通过诱使受害者点击一个包含恶意 JavaScript 代码的链接,当受害者点击该链接时,恶意 JavaScript 代码会被浏览器执行。
  • 存储型 XSS (Stored XSS):在存储型 XSS 攻击中,攻击者将恶意 JavaScript 代码存储在 web 应用中,例如在留言板评论区等地方。当其他用户访问包含恶意 JavaScript 代码的页面时,恶意 JavaScript 代码会被浏览器执行。
  • DOM-based XSS (DOM-based XSS):在 DOM-based XSS 攻击中,攻击者通过修改 web 应用的 DOM 结构来执行恶意 JavaScript 代码。

1.3 预防XSS

为了防止 XSS 攻击,开发者可以采用以下几种方法:

  • 输入验证:对用户的输入进行严格的验证和过滤,以消除可能的恶意 JavaScript 代码。
  • 输出编码:对用户的输出进行编码,将可能的恶意字符转义为 HTML 实体,以避免恶意 JavaScript 代码被浏览器执行。
  • 内容安全策略 (CSP):使用 CSP 头部来指定哪些内容可以被浏览器加载和执行。
  • HTTPOnly 标志:在 cookie 中设置 HTTPOnly 标志,可以防止 JavaScript 代码读取和修改 cookie
  • 安全的 HTTP 头部:使用安全的 HTTP 头部,如 X-Content-Type-OptionsX-XSS-Protection 等,来提高 web 应用的安全性

2. CSRF

2.1 CSRF介绍

CSRF (跨站请求伪造) 攻击是一种 web 应用程序安全威胁,它利用了用户的浏览器和 web 应用程序之间的信任关系。在 CSRF 攻击中,攻击者诱骗用户访问恶意网站或点击包含特殊制作的请求的链接

2.2 CSRF分类

  • 攻击者诱骗用户访问恶意网站或点击包含特殊制作的请求的链接
  • 恶意网站或链接包含一个隐藏的表单JavaScript 代码,该代码向 web 应用程序发送请求,并使用用户的凭证
  • web 应用程序,认为该请求来自用户,处理该请求并执行未经授权的操作

2.3 预防CSRF

为了预防 CSRF 攻击,开发人员可以实施以下措施:

  • 使用 CSRF 令牌CSRF 令牌是唯一的随机值,由服务器生成并包含在表单数据HTTP 头部的请求中。服务器验证 CSRF 令牌,以确保请求是合法的且来自预期的来源。
  • 实现安全的 cookie:在 cookie 中设置 HTTPOnly 标志,可以防止 JavaScript 代码读取和修改 cookie。此外,使用 secure 标志可以将 cookie 仅通过 HTTPS 发送,从而进一步提高 cookie 的安全性。
  • 重置会话:在用户注销或更改密码时重置会话以使任何现有的 CSRF 令牌失效。
  • 输入验证和输出编码:对用户的输入进行严格的验证和过滤,以消除可能的恶意代码。对用户的输出进行编码,将可能的恶意字符转义为 HTML 实体,以避免恶意代码被浏览器执行。
  • 内容安全策略 (CSP):使用 CSP 头部来指定哪些内容可以被浏览器加载和执行。
  • 安全的 HTTP 头部:使用安全的 HTTP 头部,如 X-Content-Type-OptionsX-XSS-Protection 等,来提高 web 应用程序的安全性。
剑九_六千里
关注
专栏目录
前端八股文-Cookie,配置,Secure,HttpOnly,XSS攻击,WebStorage,CSRF攻击,LocalStroage,MVVM,跨域,CORS,JSONP
VAN
11-15 579
前端学习
关于 Xss 攻击的那些事
wumu0927的博客
01-03 3777
关于 Xss 攻击的那些事 文章首发于个人博客 前言 准备秋招的时候, 背了一些关于 Xss八股文, 但是没有深入了解, 所以当时面试回答的时候, 只能自己背的那部分说出来, 当面试官一深问时, 就回答不出来了, 直到现在有时间去研究 Xss 攻击, 才发现和自己背的八股文有一些区别。 文章中的 ???? 源代码都可以在这里下载, 最好是自己运行一遍, 结合本文食用最佳!!! 什么是 Xss 攻击 跨站脚本攻击(Xss)是一种代码注入攻击, 允许攻击者在其他用户的浏览器上执行恶意 JavaScrip
一篇文章把所有前端安全相关的攻击和防御都给解决了——XSS攻击CSRF攻击
qq_41040989的博客
03-31 853
CSRF(Cross-site request forgery,跨站请求伪造也被称为One Click Attack 或者 Session Riding ,通常缩写为 CSRF或者XSRF,是一种欺骗受害者提交恶意请求的攻击。它继承了受害者的身份和特权,代表受害者执行非本意、恶意的操作。它强制终端用户在当前对其进行身份验证后的Web应用程序上执行非本意的操作。尽管CSRF听起来像跨站脚本XSS,但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。
八股系列】谈一谈对重绘和回流的理解?
to_the_Future的博客
05-23 334
谈一谈对重绘和回流的理解?
八股】2024春招八股复习笔记3(测试、运维、安全、游戏、客户端)
小哈里的博客
03-27 4296
1、测试开发 2、运维开发 SRE 3、安全开发 4、运营开发/应用开发(全栈) 5、客户端:PC & 移动 & 游戏 我有一个问题,既然测试、运维、安全、运营、客户端都要会开发,同时还要会很多专业领域的知识,但是待遇和职业发展却都远远不如开发。那为什么不直接投业务开发呢(好吧可能是太卷了) 1、测试开发 1、网络 & 系统(含linux) 2、数据库,MySQL,JAVA 3、测试流程:单元测试、集成测试、系统测试 【八股】2024春招八股复习笔记3(测试、运维、安全、游戏、客户端)
面试必备(背)--计算机网络八股系列
weixin_70730532的博客
08-28 7180
不行。TCP进行可靠传输的关键就在于维护一个序列号,三次握手的过程即是通信双方相互告知序列号起始值, 并确认对方已经收到了序列号起始值。如果只是两次握手,至多只有客户端的起始序列号能被确认,服务器端的序列号则得不到确认。❝第三次的ACK在网络中丢失,那么服务端该TCP连接的状态为SYN_RECV,并且会根据 TCP的超时重传机制,会等待3秒、6秒、12秒后重新发送SYN+ACK包,以便客户端重新发送ACK包。如果重发指定次数之后,仍然未收到 客户端的ACK应答,那么一段时间后,服务端自动关闭这个连接。...
八股】2023秋招八股复习笔记1(CSBase+部分WXG题)
小哈里的博客
08-17 1401
相反的,如果并发访问共享资源时,冲突概率非常低的话,就可以使用乐观锁,它的工作方式是,在访问共享资源时,不用先加锁,修改完共享资源后,再验证这段时间内有没有发生冲突,如果没有其他线程在修改资源,那么操作完成,如果发现有其他线程已经修改过这个资源,就放弃本次操作。而树的高度决定于磁盘 I/O 操作的次数,因为树是存储在磁盘中的,访问每个节点,都对应一次磁盘 I/O 操作,也就是说树的高度就等于每次查询数据时磁盘 IO 操作的次数,所以树的高度越高,就会影响查询性能。,为什么不选择它作为缓存呢?
JAVA八股文面试必会-基础篇-1.5 网络和IO
lky20011016的博客
06-05 606
OSI模型是开放式系统互联通信参考模型,是一种概念模型,由国际标准化组织提出,一个试图使各种计算机在世界范围内互连为网络的标准框架OSI定义了网络互连的七层框架(物理层、数据链路层、网络层、传输层、会话层、表示层、 应用层)其中HTTP协议和HTTPS协议属于应用层 ,TCP协议和UDP协议属于传输层协议TCP协议位于传输层,作用是提供可靠的字节流服务,为了准确无误地将数据送达目的地,TCP协议采用三次握手策略第1次握手:客户端发送一个带有SYN(synchronize)标志的数据包给服务端。
49道PWA面试八股文(答案、分析和深入提问)整理
ocean2103的专栏
10-03 967
通过以上步骤,你的 PWA 应用即可实现推送通知。记得在服务器端实现推送服务和 VAPID 身份验证。确保在 HTTPS 环境下使用 PWA 和推送通知功能,因为这些功能在不安全的环境下无法使用。渐进式Web应用程序(PWA)结合了Web和移动应用的优势,提供了一种高效、安全且用户友好的浏览体验。通过上述特性,PWA能显著提升用户满意度和留存率,适用于各种业务和服务。
常年累计整理各种后端面试八股文和技巧.zip
03-16
11. **安全性**:SQL注入防护、XSSCSRF攻击、加密算法、身份验证与授权。 12. **框架与库**:Spring全家桶的使用、Docker容器化、Kubernetes集群管理、Redis缓存使用。 13. **项目经验与问题解决能力**:面试官...
微服务八股文.pdf
02-22
- **存储考虑**:JWT 通常存储在客户端(如 Cookie、localStorage 或 sessionStorage),增加了客户端的安全风险,需要防范 XSSCSRF 攻击。 在实际应用中,客户端可以将 JWT 存储在不同的地方,例如: - **...
技术面 - 八股文整理
热门推荐
程序员阿甘的博客
11-13 1万+
八股文整理
#渗透测试#SRC漏洞挖掘#XSS跨站脚本介绍02绕过
最新发布
soc的博客
11-03 698
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
XSS-libs
2303_77961060的博客
10-30 478
alert(1)
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞
huanghm88的专栏
10-31 1078
XSS(Cross - Site Scripting,跨站脚本攻击)是一种常见的网络安全漏洞,以下是对它的详细介绍:&"'
#渗透测试#SRC漏洞挖掘#XSS跨站脚本介绍01
soc的博客
11-03 629
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的XSS是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
Xss_less靶场攻略(1-18)
saber的博客
10-30 457
介绍了XSS-LAB环境下的多个安全挑战(Level 1-18),每个挑战都涉及到如何在特定条件下实施跨站脚本攻击(XSS)。文档详细描述了各种攻击方法,包括但不限于利用特殊字符转义、img标签懒加载、a标签中的JavaScript执行、“”和“’”字符的使用技巧、以及针对不同HTML元素和属性的XSS注入策略。同时,还探讨了服务器端的防御措施,如使用htmlspecialchars函数进行转义,并尝试了多种编码和绕过技术来避开这些防御。
-XSS-
qq_75005708的博客
10-30 416
链接搭建过程非常容易的搭建好之后,就可以点击图片开始闯关了。
深入解析哈尔滨二级等保下的XSS跨站脚本攻击及其防御策略
weixin_62641226的博客
11-01 475
XSS跨站脚本攻击是一种严重的网络安全威胁,尤其在信息系统安全等级保护的背景下,防范此类攻击显得尤为重要。通过对输入进行严格验证、输出进行编码、使用安全标志、实施内容安全策略以及定期进行安全审计等措施,可以有效降低XSS攻击的风险。同时,提升用户的安全意识也是防范攻击的重要环节。只有综合运用多种防御策略,才能在复杂的网络环境中保障信息系统的安全。
sql注入 xss攻击csrf攻击的区别
06-13
SQL注入、XSS(跨站脚本攻击)和CSRF(跨站请求伪造)是三种常见的网络安全威胁,它们针对的应用场景和攻击机制有所不同。 1. SQL注入: - **定义**:攻击者通过在输入字段中插入恶意SQL代码,欺骗应用程序执行非...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

剑九_六千里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值