XSS攻击与CSRF攻击比较

最新推荐文章于 2023-03-03 16:00:00 发布
最新推荐文章于 2023-03-03 16:00:00 发布
阅读量136 收藏
点赞数
分类专栏: xss-csrf 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41945228/article/details/90896457
版权

XSS:Cross Site Scripting,跨站脚本攻击

原理:

网站webA的授信用户userA,利用网站合法接口输入或提交非法数据,而影响网站其他用户。
比如网站webA有允许用户评论的入口,正常用户发布的评论可能是“我是评论!”,而userA发的评论是“<a href='http://www.xss.com'>点我进入大保健</a>”。
网页显示评论的代码可能是这样的"<p>用户的评论</p>",网页在加载userA的评论时就会是“<p><a href='http://www.xss.com'>点我进入大保健</a></p>”,相当于在评论中插入了一个非法链接,网站其他用户加载评论时都将看到这个非法链接。
除了插入非法链接之外,userA甚至还可以插入script脚本,脚本可做的事情就更多了,修改dom、自动跳转页面、非法提交表单等等。

预防:

要预防跨站脚本攻击其实比较简单,就是不信任任何用户的输入,对用户输入进行过滤转义等。
比如对上面例子中的“<a href='http://www.xss.com'>点我进入大保健</a>”进行转义之后就变成了“<a href='http://www.xss.com'>点我进入大保健</a>”,这样其他用户看到的就不再是一个跳转链接了。

CSRF:Cross Site Request Forgery, 跨站域请求伪造

原理:

通过伪装来自受信任用户的请求来利用受信任的网站。
通俗的说就是攻击者利用了你的身份,发送了恶意请求。就好比黑客盗用了你的qq然后假装是你,骗你朋友要钱。


如上图所示,用户先登录网站A,然后访问恶意站点B,用户在恶意站点B中点击了一个链接,这个链接跳转回A网站的同时发送了一个恶意get请求,类似“http://weba.com/comment?comment=这个评论是webB伪造的”。除了get请求外,webB也可以伪造post请求。

 

预防:

验证Referer

webB伪造webA的请求时,Referer是webB,webA发现referer非法的时候就可以拒绝这个请求。

token校验

比如用户在访问webA时,会生成一个随机的token,以后每次访问webA时都带上token,服务端校验token是否合法。因为token具有随机性,所以webB就不能用普适的方法来伪造webA的请求。
token有各种实现方式,可以放在请求参数中也可以放在请求头中。


 

small onion
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析XSS和CSRF攻击及防御
koastal的博客
10-23 8095
XSS攻击CSRF攻击XSS和CSRF的关系XSS防御CSRF防御总结以上介绍的攻击和防御方法都是一些基本的情况,所介绍的防御机制并不能保证绝对安全,但是应该可以防御一般的攻击情况了,我们做了这些处理总是比没做要好,不是么?
XSS攻击CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
xss攻击csrf攻击
qq_38517015的博客
09-03 160
xss攻击:跨站脚本攻击 三种攻击方式:注入式攻击、反射型攻击、基于DOM的xss攻击 解决方式:过滤及转码;csp内容安全策略,通过头部或meta指定哪些脚本可以执行;httponly,只允许http请求携带cookie,不允许javascript获取cookie csrf攻击:跨站请求伪造攻击 漏洞在于发送http请求会自动携带同源的cookie 所在在用户登录一个A网站后,再去浏览器一个恶意B网站的过程中,如果发起了对A网站的请求,即使是由B网站发起的,也会自动携带A网站的cookie,从而
XSS攻击CSRF攻击
Geolias的博客
07-14 584
CSRF攻击 CSRF攻击介绍 CSRF(Cross-site request forgery):跨站请求伪造。 简易理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 原理 1. 用户C打开浏览器,访问受信任网站A,输入用
Yii框架防止sql注入,xss攻击csrf攻击的方法
10-21
主要介绍了Yii框架防止sql注入,xss攻击csrf攻击的方法,结合实例形式分析了Yii框架针对sql注入,xss攻击csrf攻击的防范方法与相关函数调用注意事项,需要的朋友可以参考下
XSS与CSRF两种跨站攻击总结
02-26
在那个年代,大家一般用拼接字符串的方式...但最近又听说了另一种跨站攻击CSRF,于是找了些资料了解了一下,并与XSS放在一起做个比较。XSS全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是
跨站攻击(XSS+CSRF).docx
01-05
XSS攻击详解】 XSS(Cross Site Scripting)攻击是指攻击者通过在网页中插入恶意脚本,使得用户在不知情的情况下执行这些脚本,从而达到窃取用户信息、操纵用户行为等目的。XSS攻击主要分为三种类型: 1. 反射型...
XSS和CSRF攻击
weixin_44718716的博客
05-09 189
什么是XSS攻击? 恶意攻击者在web页面中会插入一些恶意的script代码。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意攻击用户的目的。 反射型xss 反射性xss一般指攻击者通过特定的方式来诱惑受害者去访问一个包含恶意代码的URL。当受害者点击恶意链接url的时候,恶意代码会直接在受害者的主机上的浏览器执行。 // 服务端代码 router.get('/testcookie', (ctx, next) => { console.log(ctx.cook
XSS和CSRF两大攻击
qq_44997147的博客
05-15 282
1 同源策略 1.1 同源 两个URL的域名、端口、协议都相同,称为同源 1.2 同源策略的三方面 DOM层。同源策略限制了来自不同源的 JavaScript 脚本对当前 DOM 对象读和写的操作。即当两个URL是同源关系时,可以在第二个页面修改第一个页面的DOM。 数据层。同源策略限制了不同源的站点读取当前站点的LocalStorage、IndexDB、Cookie等数据信息。 网络层。同源策略限制了通过 XMLHttpRequest 等方式将站点的数据发送给不同源的站点。 1.3 同源策略带来的问题
XSS攻击CSRF攻击与防范
whiteBearClimb的博客
01-02 610
这两个也是我个人在面试时候经常被问到的(前端较多,有的公司要你前后端都做的或者需要你对这些有所了解的也会问到你),不得不说这些东西在日常业务开发中还真是比较少机会遇到,但是也要考虑到才算周全。 什么是XSS?? 首先XSS攻击是Cross Site Scripting (跨站脚本)的变形缩写,为啥不缩写成CSS呢,因为那就会跟修饰页面的Cascading style sheets (层叠样式表CS...
前端系统复习之安全篇
李天下
09-04 249
CSRF CSRF的基本概念、缩写、全称 攻击原理 防御措施 如果把攻击原理和防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发co...
浅谈xss和csrf攻击
半路出家的码农小王
05-15 2487
文章目录 前言 一、XSS是什么? 存储型(持久型) 反射型(非持久型) dom型 二、CSRF是什么? 总结 前言 由于博主目前在一家主做网络安全的公司实习,之前没有意识到网络安全的严重性,现在才感受到我们的系统存在了这么多问题,很容易被黑客攻入。下面我们一起来聊一聊最常见的两种攻击方式,xss和csrf吧! 一、XSS是什么? XSS 全称是 Cross Site Scripting(即跨站脚本),为了和CSS区分,故叫它XSS。XSS攻击是指浏览器中执行恶意脚本(无论是
Web前端安全问题:XSS攻击CSRF攻击、点击劫持
yinqian_Golang的博客
05-15 5409
文章目录前端有哪些攻击方式?1. XSS攻击XSS 本质原理XSS分类防御 XSS 攻击如何去检测XSS攻击,怎么知道自己的页面是否存在XSS漏洞?2. CSRF典型的CSRF攻击流程:CSRF的特点如何防范CSRF攻击?3. 点击劫持典型点击劫持攻击流程 【面试篇】寒冬求职之你必须要懂的Web安全 前端有哪些攻击方式? XSS攻击CSRF攻击、点击劫持 1. XSS攻击 XSS(Cross...
安全:xss攻击csrf 攻击 攻击条件和防御措施
日晞的博客
09-23 1005
1.添加token 验证,第一次登录时,服务器返回一个token,后面接口请求都要带token。攻击条件:浏览存在 csrf 漏洞的网站,或者诱导点击具有csrf 攻击性的网站。跨站脚本攻击:在script 里写入恶意脚本,获取用户信息,网页错误,恶意跳转。跨站请求伪造:用户盗用你的身份,发起恶意请求。登录你的账号,诈骗他人。攻击条件:input 输入框,在这里写入script 恶意脚本。防御措施:过滤script标签;2.登录前需要输入验证码。
XSS和CSRF两种攻击方式
weixin_43183219的博客
05-11 1531
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击的原理、特点以及xss和CSRF的区别
XSS 和 CSRF 攻击详解
AzulSystems的博客
03-03 2104
在 Web 安全领域中,XSS 和 CSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
XSS攻击CSRF攻击比较以及防范措施
我不会玩csdn,我兄弟没面子。
07-05 553
转自 https://www.jianshu.com/p/a1e7f23189ab
sql注入 xss攻击csrf攻击的区别
最新发布
06-13
2. XSS攻击: - **定义**:攻击者在网站上植入恶意脚本,当用户访问含有这些脚本的页面时,脚本会在用户的浏览器上执行,可能窃取用户信息或控制用户的会话。 - **目标**:影响用户浏览器,操纵前端显示内容,或...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值