前端面试知识点--安全类(CSRF和XSS)

最新推荐文章于 2024-05-06 13:57:10 发布
最新推荐文章于 2024-05-06 13:57:10 发布
阅读量386 收藏
点赞数
分类专栏: 前端学习笔记 文章标签: 前端 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43188432/article/details/104450943
版权

CSRF

基本概念和缩写: 通常称为跨站请求伪造,英文名Cross-site request forgery 缩写CSRF

攻击原理
在这里插入图片描述

防御措施

  • 在请求地址中添加 Token 并验证
  • 验证 HTTP Referer 字段
  • 隐藏令牌

XSS

基本概念和缩写: 通常称为跨站脚本攻击,英文名Cross-site scripting
通常是带有页面可解析内容的数据未经处理直接插入到页面上解析造成的。
XSS根据攻击脚本的引入位置来区分为:

  • 存储型XSS
  • 反射型XSS
  • DOM XSS

防止XSS方法:

  • 服务端可以做以下动作:
    1. 在Cookie中有个属性时HTTP,设置为True,不允许JavaScript读取cookies,但该属性只适配部分浏览器。对于HTTPS可以设置Secure
    2. 处理富文本框输入内容,进行XSS过滤,过滤类似script、iframe、form等标签以及转义存储
  • 客户端可以做以下动作:
    1. 输入检查,和服务端一样都要做。
    2. 输出检查,编码转义,如果使用jquery,就是那些append、html、before、after等,插入DOM的方法需要注意。现今大部分的MV*框架在模板(view层)会自动处理XSS问题。
Lewalker59
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端面试笔记10:前端安全CSRF 攻击
qq_52287721的博客
01-01 2043
前端安全 CSRF 攻击 文章目录前端安全 CSRF 攻击什么是 CSRF 攻击?CSRF 攻击的类型GET 类型的 CSRF 攻击POST 类型的 CSRF 攻击防范 CSRF 攻击的方法同源检测方法使用 CSRF Token 进行验证使用双重 Cookie 验证的方法设置 cookie 属性的时候设置 Samesite 什么是 CSRF 攻击? CSRF 攻击指的是跨站请求伪造攻击,攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求。如果用户在被攻击网站中保存了登录状态,那么攻击者就可
前端面试】07 安全问题:CSRFXSS
微子细的博客
08-23 896
本文笔记基于「千古壹号」的GitHub项目:https://github.com/qianguyihao/web 文章目录1.考点2.解决方法2.1 CSRF 1.考点 CSRF XSS 不会太难,考察基本概念、攻击方式、防御措施 2.解决方法 2.1 CSRF 1.基本概念、缩写、全称? CSRF:Cross-site request forgery,跨站请求伪造 2.攻击原理 ...
2024年【面试题】XSS攻击是什么?_6,web开发前端
2401_84433974的博客
05-06 751
小编综合了阿里的面试题做了一份前端面试题PDF文档,里面有面试题的详细解析开源分享:【大厂前端面试题解析+核心总结学习笔记+真实项目实战+最新讲解视频】答:XSS是跨站脚本攻击(Cross Site Scripting),不写为CSS是为了避免和层叠样式表(Cascading Style Sheets)的缩写混淆,所以将跨站脚本攻击写为XSS。攻击者可以通过向Web页面里面插入script代码,当用户浏览这个页面时,就会运行被插入的script代码,达到攻击者的目的。
前端面试:区分XSSCSRF
weixin_30698297的博客
02-12 80
xss:跨站点攻击。xss攻击的主要目的是想办法获取目标攻击网站的cookie,因为有了cookie相当于有了session,有了这些信息就可以在任意能接进互联网的PC登陆该网站,并以其他人的身份登陆做破坏。预防措施防止下发界面显示html标签,把</>等符号转义。 csrf:跨站点伪装请求。csrf攻击的主要目的是让用户在不知情的情况下攻击自己已登录的一个系统,类似于钓鱼...
前端面试查漏补缺--(七) XSS攻击与CSRF攻击
cpongo011702
02-23 797
前言 本系列最开始是为了自己面试准备的.后来发现整理越来越多,差不多有十二万字符,最后决定还是分享出来给大家. 为了分享整理出来,花费了自己大量的时间,起码是只自己用的三倍时间.如果喜欢的话,欢迎收藏,关注我!谢谢! 文章链接 前端面试查漏补缺--(一) 防抖和节流 前端面试查漏补缺--(二) 垃圾回收机制 前端面试查漏补缺--(三) 跨域及常见解决办法 前端面试查漏补缺--(四) 前端本地存储...
再也不怕面试官问 XSSCSRF 的问题了
qq_29850249的博客
11-08 351
XSS 开发者没有将用户输入的文本进行合适的过滤,就贸然插入到 HTML 中,攻击者利用漏洞,构造出恶意的代码指令,攻击成功后,攻击者可能得到包括更高的权限、私密网页内容和 cookie 等各种内容。 解决办法: ​ 做 HTML 转义 ​ 链接跳转要检验其内容,禁止以 javascript: 开头的链接 CSRF 跨站请求伪造。未经用户许可,偷偷的使用用户名义,发送恶意请求的攻击。通常情况下借助用户cookie来骗取服务器信任。 解决办法: ​ 同源监测 ​ Token 验证 ​ 不保存cookie .
前端面试资料-来呀-前端面试资料
最新发布
06-18
为了帮助你更好地理解和掌握这些知识点,以下是一些核心的前端技术及其在面试中常见的考察点。 1. HTML与CSS基础: - HTML结构设计:了解语义化标签,如, , , , , 等,以及如何构建符合W3C标准的页面结构。 - CSS...
前端面试题汇总-分享一下,给面试前端的朋友
03-11
以下是一些核心的前端面试知识点: 1. HTML基础: - 了解HTML5的新特性,如语义化标签(article, section, header, footer等)、离线存储(Application Cache)、表单控件(input type的新类型)。 - 理解DOCTYPE...
第6章 前端面试技能拼图4: 知识广度 - 从前端到全栈
03-13
8. **Web安全**:了解XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的基本防护措施,以及HTTPS和Content Security Policy(内容安全策略)的重要性。 9. **Node.js**:作为全栈开发的关键,理解Node.js的事件驱动非...
前端面试知识点目录一览
12-08
以下是一些主要的前端面试知识点,基于给定的标题和描述: 1. **HTML**: - **语义化标签**:理解HTML5中引入的语义化标签,如, , , , , 等,以及它们在构建结构化网页中的作用。 - **结构化理解**:确保HTML结构...
前端大厂最新面试题-horizon.docx
06-06
"前端大厂最新面试题-horizon.docx" ...本文总结了前端大厂最新面试题-horizon.docx中的知识点,涵盖了前端基础、React、Web语义化、JavaScript基础、前端工程化、CSS相关、安全相关等方面的知识点
面试:安全类
oiaa的博客
03-05 149
问题 CSRF 基本概念和缩写 攻击原理 防御措施 XSS CSRF 跨站请求伪造 原理:在B网站引诱用户访问A网站(用户之前登陆过A网站,浏览器cookie缓存了身份验证信息),调用A网站的接口攻击A网站 防御: Token验证 Referer验证:页面来源判断 隐藏令牌:隐藏在http头中 XSS 跨域脚本攻击 原理:向页面注入脚本,例如评论区...
前端面试笔记9:前端安全XSS 攻击
qq_52287721的博客
01-01 2444
前端安全 XSS 攻击 文章目录前端安全 XSS 攻击XSS 是什么?XSS 攻击的类型DOM 型 XSS 攻击反射型 XSS 攻击存储型 XSS 攻击如何防范 XSS 攻击? XSS 是什么? XSS 的全名是 Cross Site Script(跨站脚本)的缩写。这里存在一个问题,为什么缩写是 XSS 而不是 CSS?因为如果叫 CSS 就和层叠样式表 CSS 重音了。所以缩写为 XSSXSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗
详解前端安全XSS&CSRF),看了这篇,面试再也不怕不会安全相关的了
xiaoxiaofly的博客
05-22 1906
XSS Cross-Site Scripting (跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。 1.XSS的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本执行。 2.由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。 3.在部分
前端面试基础--安全类
weixin_42281924的博客
12-09 84
1.CSRF 1.基础概念和缩写 跨站点请求伪造(Cross—Site Request Forgery) 2.攻击原理及过程 用户C打开浏览器,访问受信任网站A,输入用户名和密码请求登录网站A 在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A; 用户未退出网站A之前,在同一浏览器中,打开一个TAB页访问网站B; 网站B接收到用户请求...
渗透之路 WEB漏洞【第七篇】XSS漏洞
dfu65065的博客
09-20 750
什么是 XSS XSS全称(Cross Site Scripting)跨站脚本攻击,是最常见的Web应用程序安全漏洞之一,位于OWASP top 10 2013/2017年度分别为第三名和第七名,XSS是指攻击者在网页中嵌入客户端脚本,通常是JavaScript编写的危险代码,当用户使用浏览器浏览网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。 从上面中的一段话,可以得知...
面试:前端安全XSSCSRF
热门推荐
qq_43592064的博客
05-26 4万+
前端安全
前端面试
sumisu666的博客
08-08 519
组件之间如何通信? 组件间通信可以通过props、传递回调函数、context、redux等形式进行组件之间通讯 react/vue中的key有什么作用?(key的内部原理是什么?) 1)简单来,key是虚拟DOM对象的标识,在更新显示时,key起着极其重要的作用。 2)详细来,当状态中的数据发生变化时,react会根据【新数据】生成【新的虚拟DOM】,随后React进行【新虚拟DOM】与【旧虚拟DOM】的diff比较,比较规则如下: ​ a. 旧虚拟DOM中找到了与新虚拟DOM相同的key: ​ (
前端面试之浏览器原理】什么是同源策略、什么是XSSCSRF攻击
阿卡内的博客
07-29 883
什么是同源策略、什么是XSSCSRF攻击
前端面试必备知识点与技巧
"前端面试题精编.pdf是一个包含当前热门前端面试题目的总结,适合初次进入职场的面试者。这份资料涵盖了HTML&CSS、JavaScript、HTTP、安全等多个方面,旨在帮助求职者准备面试,强调了个人技能展示、项目经验、团队...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值