CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施

已于 2023-04-10 14:37:10 修改
阅读量1k 收藏 1
点赞数
分类专栏: 网络 文章标签: web csrf
于 2021-03-22 17:28:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tscn1/article/details/115084944
版权
本文详细介绍了CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念及防御措施。对于CSRF,讨论了sameSite cookie策略、验证referer和Origin、二次验证及非cookie令牌的使用。对于XSS,区分了存储型、反射型和DOM型,并提出了过滤和HTML编码的防御方法。
摘要由CSDN通过智能技术生成

这里写目录标题

CSRF(跨域请求伪造)

恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。

原理:

1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。

2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。

防御

cookie的sameSite

现在很多浏览器都支持禁止跨域携带cookie。需要设置cookie的sameSite为:

  • Strict:严格,所有跨站请求都不附带cookie,有时会导致用户体验不好
  • Lax:宽松,所有跨站的超链接、GET请求的表单、预加载连接时会发送cookie,其他情况不发送
  • None:无限制

这种方法非常简单,极其有效,但前提条件是:用户不能使用太旧的浏览器。

验证referer和Origin

页面中的二次请求都会附带referer或Origin请求头,向服务器表示该请求来自于哪个源或页面,服务器可以通过这个头进行验证。

但某些浏览器的referer是可以被用户禁止的,尽管这种情况极少

二次验证

当做出敏感操作时,进行二次验证

使用非cookie令牌

这种做法

最低0.47元/天 解锁文章
tscn1
关注
专栏目录
11.2:.NET的跨站脚本攻击XSS)和跨站请求伪造CSRF)防护(课程共5600字,3段代码举例)
小兔子平安
08-16 144
课程为我们提供了全面的知识和实践经验,使我们能够更好地保护应用程序和用户的隐私。通过不断学习和实践,我们可以在.NET应用程序的开发过程中,始终将安全性作为重要的考虑因素,并采取有效的措施来应对不断演变的安全威胁。
什么是CSRFCSRF漏洞原理攻击与防御(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
05-21 7454
这时该转帐请求的 Referer 值就会是转账按钮所在的页面的URL,而如果黑客要对银行网站实施 CSRF攻击,他只能在他自己的网站构造请求,当用户User通过黑客的网站发送请求到WebA时,该请求的 Referer 是指向黑客自己的网站。你可以这么来理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。比如在PHP中,如果使用的是。
CSRF漏洞
2ed
06-13 1546
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
什么是跨站脚本攻击XSS)和跨站请求伪造CSRF)?
最新发布
盼盼盼的博客
09-09 704
跨站脚本攻击XSS)和跨站请求伪造CSRF)是两种常见的网络安全威胁,它们利用网站和用户浏览器之间的交互来实施攻击。定义:攻击方式:类型:定义:攻击方式:特点:对XSS的防御:对CSRF的防御:
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1869
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 760
Web 安全领域中,XSSCSRF 是最常见的攻击方式。本文将会简单介绍 XSSCSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了和层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
总结 XSSCSRF 两种跨站攻击
peizhiinfo
11-24 815
XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery) 在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代,参数化查询已经成了普及用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSSCSRF 却没有远离我们...
xss 和 crsf
08-10 325
crsf 攻击CSRF(Cross-site request forgery),中文名称:跨站请求伪造CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A...
CSRF 伪造跨域请求
技术的搬运工
01-30 546
伪造跨域请求(英语:Cross-site request forgery),通常缩写为CSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
Web高级知识-跨域&XSS;&CSRF;解决方案
11-26
【HTTP协议与TCP/IP协议的关系】HTTP协议是...同时,掌握跨域XSSCSRF的防范策略,是保障Web应用程序安全的基础。在实际开发中,应根据应用场景选择合适的连接方式,并严格实施安全措施,保护用户数据和系统安全。
JS的33个概念—前端安全(跨站脚本攻击XSS和跨站请求伪造CSRF
jiaojsun的博客
07-26 1210
1.跨站脚本攻击(XSS) 1)定义 跨站脚本攻击是基于web应用中已知的漏洞,服务端,或者依赖的插件系统。利用其中一种方式,攻击者可以把恶意内容放进目标站点传输的内容中。当这种结合的内容到达客户端的浏览器中,它就已经变成从受信任的来源传输的,然后在系统授权下进行操作。通过寻找把恶意脚本注入web页面的方法,攻击者可以获取对敏感页面的访问权限,例如对session cookie和浏览器代表用...
XSS跨域攻击web项目中的防范,基于antisamy技术
07-10
介绍了XSS跨域攻击web项目中的防范,基于antisamy技术。
XSSCSRF 原理和基本防御方式
接着奏乐接着舞的博客
08-10 2066
面试向:XSSCSRF 原理和基本防御方式
CSRF跨域攻击实例与防范
weixin_52224421的博客
01-20 587
CSRF跨域攻击实例与防范
前端网路与安全:XSSCSRF的基本概念攻击原理以及防范措施是什么?
lee前端技术站
08-31 441
一、XSS跨站脚本攻击 攻击者想尽一切办法,将可以执行的代码注入到网页中。 1.1存储型 场景:常见于带有用户保存数据的网站功能,如论坛发帖,商品评论,用户私信等。 攻击步骤: 攻击者将恶意代码提交到目标网站的数据库中 用户打开目标网站,服务器将恶意代码从数据库取出,拼接在HTML中返回给浏览器 浏览器在收到响应后的数据解析执行,混在 其中的恶意代码同时也被执行 恶意代码窃取用户数据,并发送到指定的攻击者的网站,或者冒充用户行为,调用目标网站的接口,执行恶意操作 1.2反射型 与存储型.
XSS攻击CSRF攻击及其防范
Sun_blog
08-10 306
文章目录XSS攻击分类攻击方式漏洞危害防护方法CSRF攻击漏洞原理防护方法总结 XSS攻击 跨站脚本攻击,通常出现在搜索框、留言板、评论区等地方 分类 反射性、存储型、DOM型 攻击方式 构造恶意链接,诱骗用户点击盗取用户的cookie信息 反射性xss: 通常这一类xss危害较低,对网站没有什么严重的影响,具体表现在用户在搜索框输入xss语句返回弹框,仅出现一次 存储型xss: 存储型对网站危害较大,用户插入xss语句后,恶意语句会存入网站数据库中,用户访问过程都会出现弹框 DOM型xss: DOM——文
CSRF 跨域攻击
avz72927的博客
03-22 145
跨域请求和Ajax技术都会极大地提高页面的体验,但同时也会带来安全的隐患,其中最主要的隐患来自于CSRF(Cross-site request forgery)跨站请求伪造CSRF攻击的大致原理是: 用户通过浏览器,访问正常网站A(例如某银行),通过用户的身份认证(比如用户名/密码)成功A网站。 网站A产生Cookie信息并返回给用户的浏览器; 用户保持A网站页面登录状...
csrf跨域攻击
dremcl的博客
03-11 128
csrf攻击原理 请求响应: 从正规网站上注册信息等等,网站会给用户返回一个csrf_token,当用户注册的信息发送时,会带着csrf_token一起返回,若返回的csrf_token一致,则成功,若不一致,则没有响应。钓鱼网站不会有csrf_token! 实例 1 首先在model中定义一个表结构 ...
XSS 攻击CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 2000
XSS 攻击CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值