cookie和XSS, CSRF的相亲相爱

最新推荐文章于 2023-10-06 23:26:01 发布
最新推荐文章于 2023-10-06 23:26:01 发布
阅读量209 收藏
点赞数
原文链接:https://juejin.im/post/5bbeb797e51d450e935c9852
版权

cookie是存储在浏览器内的一段用户信息,由于受制同源策略影响,不是同源的域名不能获取非同源的cookie

注意:在另一个非同源页面里执行某个非同源域名下的可以跨域的请求,会带上该请求域名的cookie,所以对于一般重要的请求,设置不能跨域或者设置跨域的安全域名

XSS攻击(重点是像浏览器插入脚本,从而破坏原有的行为或者盗取数据):

1)钓鱼式反射攻击:通过email,评论区内容,购买广告嵌入等方式在原有网站上嵌入恶意链接,用户点击会盗取该页面的cookie信息----设置cookie HttpOnly属性,只能被服务端读取,不能被js获取

2)存储型攻击:通过来输入框内输入攻击js代码,保存到服务端,从而达到其他用户打开该网页,展示输入内容的时候执行攻击代码----对用户输入进行转义,对服务端输出进行转义

3)基于DOM的攻击:通过email,评论区内容,购买广告嵌入等方式在原有网站上嵌入脚本修改或者破坏原有DOM的行为

CSRF攻击(通过在攻击网站上执行某个用户信息已有可以跨域的请求,从而冒充用户进行相关操作):

由于cookie同源策略的影响,CSRF攻击不用担心是否可以获取cookie,只关心执行某个请求(执行该请求会带上用户原有域名下的cookie)来冒充用户修改服务端数据---设置验证码验证;服务端设置安全域名/检查发送方域名;设置token验证。


weixin_34179968
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cookie如何防范XSS攻击
liuhao9999的博客
03-22 4148
XSS(跨站脚本攻击)是指攻击者在返回的HTML中嵌入javascript脚本,为了减轻这些攻击,需要在HTTP头部配上,set-cookie: httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。 secure - 这个属性告诉浏览器仅在请求为https的时候发送cookie。 结果应该是这样的:Set-Cookie=..... ......
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
cookie获取与xss
baidu_41942652的博客
04-28 451
首先打开pikachu平台,找到反射型xss(get)章节。 打开后台 登录账号 将字数限制去掉 然后输入一个的script语句 然后可以在后台看见用户访问的cookie信息 这样一次cookie获取就成功了! ...
4 AJAX(cookie + hash)
lzyPM的博客
06-16 336
1
jQuery中的Cookie和hash
qq_45155741的博客
07-06 242
jQuery中的Cookie和hash Cookie Cookie:会话跟踪技术(客户端) session:会话跟踪技术(服务端) Cookie作用:将网页中的数据保存到浏览器当中 使用: window.onload = function(){ document.cookie = "name=yxy;"; alert(document.cookie); } Cookie生命周期:cookie生命周期默认情况下是一次会话(浏览器被关闭代表生命周期结束) cookie设置过期时间(通过e
前端面经 Cookie如何防范XSS攻击
Ahua_Core的博客
03-05 2854
XSS即跨站脚本攻击,是攻击者在返回的HTML中嵌入JavaScript脚本。 防范XSS攻击 在HTTP头部上配置,set-cookie 有两个属性可以防止XSS攻击 httponly - :这个属性可禁止JavaScript访问Cookie,故可以保护Cookie不被嵌入的恶意代码所获取。 secure - :这个属性告诉客户端浏览器仅当在https请求时发送Cookie 如: response.setHeader("Set-Cookie", "cookiename=httponlyTest;Pat
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
跨站攻击(XSS+CSRF).docx
最新发布
01-05
总结来说,XSSCSRF是两种常见的Web安全威胁,理解和掌握这两种攻击的原理、实施方式以及防护措施是保障网络安全的重要一环。通过实际操作和理论学习,学生将深化对Web安全的理解,提高应对网络攻击的能力。
xss+csrf+html练习源码.rar_XSS_csrf_csrf源码_xss源码_xss练习源码
09-20
在网络安全领域,XSS(Cross-Site Scripting)和CSRF(Cross-Site Request Forgery)是两种常见的攻击手段,而HTML注入则是它们的一种利用方式。这个“xss+csrf+html练习源码.rar”文件提供了针对这些漏洞的实战练习...
XSSCSRF两种跨站攻击总结
02-26
但是,历史同样悠久的XSSCSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免...
总结Cookie安全:安全风险和防范建议
Neonline254的博客
05-23 3186
本文从安全工程师的视角总结了Cookie技术和其安全问题,包括Cookie技术的介绍、所带来的安全问题及对应的防范手段和建议,希望能给想了解Cookie安全的你带来一些帮助。
Cookie,LocalStorage 和 IndexedDB 都会受到同源策略的限制
subsistent的博客
03-25 418
这意味着,它们只能被创建它们的网站本身、或者与它同源的网站所访问和修改。举个例子,如果某个网站在创建一条 Cookie 时,指定了域名为 abc.com,那么只有在 abc.com 域名下的页面才能访问该 Cookie同源策略是 Web 安全模型的一部分,它限制了不同源的脚本之间的交互。同源指的是协议、域名和端口号都相同,如果不同,则被认为是不同的源。同样的,如果某个网站在 LocalStorage 或 IndexedDB 中存储了数据,也只能被该网站本身或同源的网站所访问和修改。
XSS攻击与防范方法
m0_58474008的博客
05-16 1289
当恶意攻击者向web应用程序的页面里插入恶意脚本,处于客户端的用户浏览该网页时,嵌入在正常web页面中的恶意代码就会被执行,从而达到攻击攻击访问用户、获取访问用户信息,甚至获取网站权限的特殊目的。DOM型XSS攻击执行的前提是原始网页存在一些修改DOM对象的方法和属性,这些方法及属性能动态地刷新响应页面,并向其中添加一些新的内容,而不需要用户在浏览器里执行任何的操作。如果攻击者利用这一特性,在具有XSS漏洞的 web应用程序中植入恶意脚本,那么被攻击的用户就间接地访问了该恶意脚本。
Cookie中的HttpOnly属性和XSS攻击
AGreatLoser
06-27 5629
httpOnly是一个常见的 Cookie 属性,用于增加对于跨站点脚本攻击XSS)的防护。将 Cookie 的httpOnly属性设置为true会限制浏览器端 JavaScript 对该 Cookie 的访问,只允许在 HTTP 请求中自动发送 Cookie,而禁止通过 JavaScript 来读取或修改该 Cookie。使用httpOnly属性的目的是保护敏感的用户会话数据,例如用户身份验证令牌(如登录凭证、会话 ID 等)。
彻底理解浏览器cookie策略
qq_43783527的博客
10-06 1165
(1)cookie存在的原因因为http请求是无状态的,同一个用户从浏览器向A服务器发送两次请求,A服务器无法判断这两次请求是否是同一个用户。所以,浏览器提供了客户端携带cookie技术,让每次请求有状态。(2)后端使用cookie进行登录状态记录流程1995年,同源政策由 Netscape 公司引入浏览器。目前,所有浏览器都实行这个政策。同源策略是防止CSRF攻击的重要手段。最初,它的含义是指,A 网页设置的 Cookie,B 网页不能使用A的cookie,除非这两个网页“同源”。协议相同。
CSRF
weixin_45855234的博客
06-16 212
CSRF跨站请求伪造,跟xss攻击一样,存在巨大的危害 原理:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是 是却完成了攻击者所期盼的一个操作,比如以你的名义发送邮件,发消息,盗取你的账号,添加系统管理员账号 ,甚至购买商品,虚拟货币转账等,如:a网站存在CSRF漏洞,b攻击网站,c为合法用户 1.c----->a 输入用户密码 2.在用户信息通过验证之后,网站a产生cookie信息并返回给浏览器,此时用户登录a 可以正常发送请求到a. 3.用户未退
浏览器同源策略问题 - Cookie访问限制
zhj52666的博客
09-27 3320
对应cookie来说,浏览器的同源策略将会限制不同源间的访问,对于跨站和跨域来说对访问cookie的影响也是不同的。同站请求,对于使用HTTPS协议的API,浏览器会存储cookie,不论`samesite`的值;对于使用HTTP协议的API,浏览器会存储`samesite`的值为`Lax`和`Strict`的cookie
Cookie机制
恰巧喜欢的博客
11-15 563
Cookie 是服务器发送到用户浏览器并保存在本地的一小部分文本信息,格式为 key/value的形式,由用户(客户端)浏览器暂时或永久保存。它会在浏览器下次向同一服务器再发起请求时被携带(请求头中)并发送到服务器端。
xsscookie窃取
weixin_30911809的博客
03-07 579
一、窃取cookie有什么用? cookie相当于一个身份证 有了管理员的cookie我们不需要帐号密码就可以登陆 二、反射型xss有存贮型xss什么区别? 反射 xss和服务器没有交互 只能用一次 储存 xss和服务器有交互 可以反复使用 危害较大 三、本次教程用到的工具 1.phpstudy(PHP调试环境的程序集成包) 2.dv...
HTTP长连接与短连接:跨域、XSSCSRF解决方案解析
本文将深入探讨Web开发中的高级概念,包括HTTP的长连接与短连接、HTTP协议的无状态性以及跨域、XSSCSRF等安全问题的解决方案。 首先,HTTP协议是基于TCP/IP协议栈的应用层协议,它利用TCP提供可靠性,IP负责网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值