xss和同源、同站、跨域

最新推荐文章于 2024-04-24 21:39:31 发布
最新推荐文章于 2024-04-24 21:39:31 发布
阅读量658 收藏 10
点赞数 7
文章标签: xss 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42995876/article/details/135676298
版权

跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。
XSS 攻击指黑客通过特殊的手段往网页中插入了恶意的 JavaScript 脚本,从而在用户浏览网页时,对用户浏览器发起 Cookie 资料窃取、会话劫持、钓鱼欺骗等各攻击。

4.1 反射型XSS(非持久型)
在这里插入图片描述
4.2 存储型XSS(持久型)
在这里插入图片描述
参考:https://blog.csdn.net/weixin_53002381/article/details/126017006

跨站请求伪造(CSRF,Cross-site request forgery),也称为 XSRF,Sea Surf 或Session Riding
即跨站请求伪造攻击。

forgery
英/ˈfɔːdʒəri/ 美/ˈfɔːrdʒəri/
n.伪造;赝品;伪造罪;伪造品

CSRF 攻击的三个条件 :

1 . 用户已经登录了站点 A,并在本地记录了 cookie

2 . 在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。

3 . 站点 A 没有做任何 CSRF 防御

在这里插入图片描述
参考:https://zhuanlan.zhihu.com/p/343515825

源(域):origin
站:site
在这里插入图片描述
“源”是scheme(也被称为协议,例如HTTP和HTTPS),主机域名和端口(如果有指定)的结合。例如,给定一个URLhttps://www.example.com:443/foo,它的“源”是https://www.example.com:443。

下文scheme统统指例如HTTP或者HTTPS这样的协议。

同源和跨源

相同scheme、主机域名和端口结合的网站被认为是“同源”,其他的被认为是“跨源”。
同源是最严格的,scheme、主机域名和端口必须都要相同。

在这里插入图片描述
站就是顶级域名TLD加上它之前的部分域名

站其实就是主机域名的限定子集:部分域名+顶级域名。

eTLD+1相同,就是同站。
相比于同源,同站显得相同更加宽容。

同协议同站
在这里插入图片描述
同协议同站也就是scheme+(eTLD+1),就可以认为他们同站。
参考:https://blog.csdn.net/YopenLang/article/details/122593075

http请求中:
在这里插入图片描述
自己的文章:https://blog.csdn.net/weixin_42995876/article/details/129672776

开水没有冬天
关注
  • 7
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP和XSS跨站攻击的防范
10-30
PHP和XSS跨站攻击的防范
浅谈前端安全——XSS CSRF
m0_59598029的博客
02-09 192
小补充:cookie的浏览器特性:cookie可以实现跨页面全局变量,cookie可以使用,但不能跨越多个域名使用。
浅析/XSS/CSRF/同源策略
weixin_43905830的博客
11-20 596
3、浏览器安全 3.1、同源策略 什么是同源? 如果两个url的协议、域名、端口相同,就称这两个url是同源 比如http://store.company.com:80/index.html和 http://store.company.com:80/dir/index.html是同源,而 https://store.company.com:80/index.html和 http://store.company.com:80/index.html不同源,因为协议不同。 同源策略主要表现在DOM、Web数据
XSS注入(跨站脚本攻击)
wwwwyyyrre的博客
06-13 5750
今天学习一下xss注入。
1.7 xss同源策略与跨域访问
weixin_30922589的博客
08-19 184
同源策略: 同源策略 在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制...
xss同源策略与跨域访问
bylfsj的博客
11-05 788
同源策略: 同源策略 在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第二个页面里的数据,但是也只有在两个页面有相同的源时。源是由URI,主机名,端口号组合而成的。这个策略可以阻止一个页面上的恶意脚本通过页面的DOM对象获得访问另一个页面上敏感信息的权限。 对于普遍依赖于cookie维护授权用户session的现代浏览器来说,这种机制有特殊意义。客户端...
XSS跨站脚本攻击
02-25
跨站脚本(crosssitescript)为了避免与样式css混淆,所以简称为XSSXSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。那么什么是XSS呢?XSS是指恶意攻击者利用网站没有对用户提交数据...
XSS跨站攻击课程.pdf
01-25
XSS跨站攻击课程
XSS跨域攻击讲义
08-19
网络安全 XSS跨域攻击 JS注入 互联网安全
【Burpsuite靶场】XSS专题精讲
2302_79800344的博客
04-23 993
基于Burpsuite靶场,深度学习XSS三种类型的各类情况。
什么是 XSS 攻击?
m0_38066007的博客
04-23 97
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。
ctfshow——XSS
qq_55202378的博客
04-24 1049
跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为 XSS。恶意攻击者往 WEB 页面里插入恶意 HTML 代码,当用户浏览该页之时,嵌入其中 Web 里面的 HTML 代码会被执行,从而达到恶意攻击用户的特殊目的。
云服务器搭建XSS-platform、DVWA靶机和Permeate论坛
最新发布
weixin_44371842的博客
04-24 423
我发现目前网上的xss-platform的搭建教程都是基于本地搭建的,这样搭建好的xss平台只能在本地使用,无法测试别的网站。而网络上的大部分xss平台又几乎都是收费的,所以写这篇博客记录一下在服务器上搭建xss-platform的过程,并且顺带搭建了DVWA靶机和一个网络安全论坛。这次部署一共有三个系统,分别是xss-platform,dvwa靶机系统和permeate论坛。
pikachu-xss
2303_81631620的博客
04-23 351
按原本的做法,应该先写一个script标签测试一下,但是发现有字符限制。
前端网络安全面试题:CSRF 与 XSS
碳基蒟蒻Serio的博客
04-22 511
跨站请求伪造是一种攻击手段,攻击者通过恶意构造一个链接或表单,诱使用户在已登录的目标网站上执行非本意的操作。当用户点击或提交这个恶意内容时,浏览器会自动带上用户的认证凭据(如session cookie),服务器误以为这是用户自己发起的合法请求,从而执行了攻击者设计的操作。例如,攻击者可能通过CSRF获取用户的转账权限,在用户不知情的情况下转走账户资金。防范措施使用CSRF令牌:服务器端为每个敏感操作生成一个一次性使用的随机令牌,并将其附加到表单中或作为Cookie的一部分发送给客户端。
Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识
JINGWHALE
04-22 976
本文介绍了Web前端安全问题分类综合以及XSS、CSRF、SQL注入、DoS/DDoS攻击、会话劫持、点击劫持等详解,增强生产安全意识。Web前端作为与用户直接交互的界面,其安全性问题直接关系到用户体验和数据安全。近年来,随着前端技术的快速发展,Web前端安全问题也日益凸显。因此,加强生产安全意识,深入理解并防范前端安全问题,对于保障整个Web应用的安全性至关重要。
前端】数组的常用处理函数
lcukyNwa的博客
04-22 443
item------->每个元素值 (必)index----->索引(可选)arr-------- >当前数组(可选)推荐vscode的一款插件来写以下的demo,该插件可以直接在js文件中显示结果,搜 Quokka.js用这个插件去新建一个js文件,直接就运行在node上了forEach不会返回一个新的数组,里面改值会影响原数组,其他方法不影响原数组map可以返回新数组 用于映射,如每个元素都加倍或执行其他转换操作every返回一布尔值,需数组中全部满足。
C++ WebServer的细节理解
我的博客
04-22 620
在非阻塞模式下,如果 I/O 操作不能立即完成(例如,因为没有数据可读 或 写缓冲区满),系统不会让调用进程阻塞等待,而是立即返回一个错误(通常为 EAGAIN 或 EWOULDBLOCK)。先查询文件描述符 fd 当前的标志,然后将 O_NONBLOCK 标志加入其中,并通过 F_SETFL 来更新文件描述符,最终实现将该文件描述符切换为非阻塞模式。这意味着,如果没有待处理的连接请求(即没有客户端尝试连接到服务器),accept() 会一直阻塞,直到有新的连接请求到达或发生其他特定条件(如超时)为止。
SpringBoot项目打包分离高阶操作
Record Little
04-23 656
虽然传输jar包 比较大,但是安全性、稳定性比较高,不需要关注pom.xml 添加了新的依赖、更新了版本号等等影响版本功能的操作。关注maven的特性, profiles即可满足, 根据不同的activation 状态,激活不同的build操作。每次修改一小部分代码或仅仅更新某个依赖jar包时,都需要重新进行整个项目的构建、打包、上传和部署。但是当你的项目趋于稳定,只有业务上的逻辑变更时,如果使用分离版本,可以加快迭代、更新的速度。弊端: 需要配置IDE命令,修改依赖时需要同时修改2处。
csr防止跨域请求,跨域攻击
08-14
### 回答1: CSR(客户端渲染)是指 JavaScript 应用程序在浏览器中运行并生成用户界面的方式。因为浏览器有同源策略的限制,导致跨域请求无法直接发送。跨域资源共享(CORS)是浏览器用来解决这个问题的技术,服务器端可以通过在响应中设置特定的 HTTP 头来允许跨域请求。 跨域攻击是指攻击者利用了浏览器的同源策略限制来获取用户敏感信息。常见的有XSS(跨站脚本攻击)和CSRF(跨站请求伪造)。为了防止跨域攻击,应当使用CORS机制严格限制哪些域可以访问服务器,同时应当使用防跨站请求伪造(CSRF)技术来防止攻击者伪造请求。 ### 回答2: CSR(Cross-Site Request)是一种安全机制,旨在防止跨域请求和跨域攻击。 跨域请求是指Web应用程序在一个域名下发送HTTP请求,但目标资源位于另一个不同的域名下。这种请求通常是由于前端页面中的JavaScript代码发送的,然而,由于浏览器的同源策略,跨域请求默认是被禁止的。 同源策略是一种浏览器安全机制,用于限制从一个源(协议+域名+端口)加载的文档或脚本如何与来自另一个源的资源进行交互。它的目的是保护用户信息的安全,防止恶意攻击者利用其他网站的漏洞来获取用户敏感数据。 为了实现跨域请求,可以使用CORS(跨来源资源共享)机制。CORS通过在HTTP响应头中添加特定的字段,使服务器能够允许跨域请求。前端页面发送的请求会先向服务器发送一个预检请求(OPTIONS请求),服务器通过响应头中的字段来确定是否允许该请求。 然而,即使使用了CORS,仍然需要注意跨域攻击(Cross-Site Scripting,XSS)的风险。XSS攻击是指攻击者通过注入恶意脚本代码到受信任网站的合法页面中,来获取用户的敏感信息或执行其他恶意操作。为了防止XSS攻击,可以对用户输入进行严格的过滤和验证,并在输出时进行适当的转义。 此外,还可以使用其他安全机制来增强安全性,如使用安全的HTTP头(如X-Frame-Options,Content-Security-Policy等),限制特定域名下的资源访问。同时,定期更新和维护服务器和应用程序以修补潜在的安全漏洞,也是非常重要的。 总而言之,CSR可以通过CORS机制来防止跨域请求,并采取其他安全措施来防止跨域攻击,保护用户的信息安全。 ### 回答3: CSR(Cross-Site Request)是一种安全机制,用于防范跨域请求和跨域攻击。 跨域请求是指在Web应用中,如果一个请求的源和目标位于不同的域名下,浏览器会根据同源策略(Same-Origin Policy)限制请求的发送和响应。同源策略要求请求的协议、域名和端口必须完全相同,否则浏览器会阻止该请求的发送。这种限制能够防止恶意网站通过浏览器发送跨域请求获取用户的敏感信息。 为了解决跨域请求的问题,可以使用CSR机制。CSR机制允许Web应用向另一个域名发送请求,并获取响应。在CSR机制中,Web应用通过在请求头中添加一些安全标记(如Origin header),告知服务器请求的来源。服务器在接收到请求后,会检查Origin header的值,然后根据策略决定是否允许跨域请求。 另外,跨域攻击也是一种常见的安全威胁,如跨站脚本攻击(Cross-Site Scripting,XSS)、跨站请求伪造(Cross-Site Request Forgery,CSRF)等。这些攻击利用了Web应用对跨域请求的信任,将恶意代码或请求发送到目标网站,以获取用户的敏感信息或执行恶意操作。 CSR机制可以有效防止跨域请求的产生,并提供一定程度的安全保护。通过限制跨域请求的访问,Web应用能够更好地保护用户的数据安全和隐私,并防范跨域攻击。然而,为了进一步加强安全性,开发者还应该采取其他安全措施,如输入验证、输出编码、会话管理等,以全面保护Web应用的安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值