前端面试的常见问题(1):Web安全的XSS攻击和CSRF攻击

最新推荐文章于 2024-03-03 13:30:00 发布
最新推荐文章于 2024-03-03 13:30:00 发布
阅读量389 收藏 2
点赞数
分类专栏: web安全 文章标签: web安全 XSS CSRF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43521227/article/details/102953518
版权

XSS攻击(跨站脚本攻击)

XSS 的全称是 Cross Site Scripting 也就是跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。
Xss会导致挂马,盗取用户cookie,爆发web2.0蠕虫,蠕虫的Ddos攻击。
Xss攻击的类型主要分为反射型,存储型,dom-based型。
反射型:通过reflect植入script脚本,一般出现在用户聊天和邮件。
存储型:该攻击会被存储到数据库,可以存储到存储用户评论的数据库,导致植入了非法留言。
Dom-based:通过eval(location.hash.substr(1))设置,通过在url设置脚本,可以获取cookie。

被攻击的主要原因:对于url提交的参数,过滤不够。

防御XSS攻击的方法:

1.对于输入的url参数过滤,对于普通的双引号(" ")和大于小于号( < >)进行转义,对于script,style,iframe节点进行一个黑名单的过滤,对于一些用户只能输入6-14个字符的内容进行白名单设置。

2.对输出进行编码,cookie设置http-only(js脚本不能读取到cookie)。

3.插件,可以使用 https://cdnjs.com/ 的插件dompurity,可以净化用户插入的恶意脚本,在实际中用到。

CSRF攻击(跨站请求伪造)

CSRF攻击原理
  1. 用户先登录网站1
  2. 网站1确认登陆者的身份(给客户端cookie)
  3. 网站2页面向A网站发起请求(此时因步骤2,带上A网站身份)
Csrf防御的几种方法:

(1)尽量使用post
(2)使用验证码
(3)验证referer,可以在请求头部中,设置referer头部信息,可以在一些被攻击的接口继续设置头部,能够检验到相同头部则通过,但是也容易在传输过程被串改。
(4)token
Csrf之所以成功,因为黑客可以完全伪造用户的请求,利用用户的cookie来跳过安全检测这块。
解决方法:因此我们可以让黑客获取不了这个cookie,意思就是不放在cookie,而是把form表单头部信息随机添加token(或者header头部在添加meta设置name为csrf-token,并且content为token随机数),这个token存储在服务器中,在请求发来时,进行拦截,并且对其检验,不通过则不给登录

LeeTikPaak19
关注
专栏目录
前端技能树,面试复习第 36 天—— 浏览器原理:如何预防 XSS 攻击CSRF 攻击
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
07-24 324
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而**盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。...
Web前端安全问题:XSS攻击CSRF攻击、点击劫持
yinqian_Golang的博客
05-15 5442
文章目录前端有哪些攻击方式?1. XSS攻击XSS 本质原理XSS分类防御 XSS 攻击如何去检测XSS攻击,怎么知道自己的页面是否存在XSS漏洞?2. CSRF典型的CSRF攻击流程:CSRF的特点如何防范CSRF攻击?3. 点击劫持典型点击劫持攻击流程 【面试篇】寒冬求职之你必须要懂的Web安全 前端有哪些攻击方式? XSS攻击CSRF攻击、点击劫持 1. XSS攻击 XSS(Cross...
前端面试常问--计算机网络--网络攻击XSSCSRF
zem
11-02 1220
XSS(Cross Site Scripting) XSS攻击全称跨站脚本攻击,之所以首字母是X,是为了区别于层叠样式表CSS 使用cookie,localStorage,sessionStorage时要注意是否有代码存在XSS注入的风险,攻击者在有XSS缺陷的页面会窃取用户的对应信息 XSS注入的方法 XSS注入实际上就是通过页面设计时的缺陷,利用浏览器对于某处代码的解析,让浏览器去执行恶意代码 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。 在内联的 JavaScript 中,
前端面试查漏补缺--(七) XSS攻击CSRF攻击
cpongo011702
02-23 808
前言 本系列最开始是为了自己面试准备的.后来发现整理越来越多,差不多有十二万字符,最后决定还是分享出来给大家. 为了分享整理出来,花费了自己大量的时间,起码是只自己用的三倍时间.如果喜欢的话,欢迎收藏,关注我!谢谢! 文章链接 前端面试查漏补缺--(一) 防抖和节流 前端面试查漏补缺--(二) 垃圾回收机制 前端面试查漏补缺--(三) 跨域及常见解决办法 前端面试查漏补缺--(四) 前端本地存储...
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
最新发布
Karka_的博客
03-03 1558
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
前端面试笔记9:前端安全XSS 攻击
qq_52287721的博客
01-01 2560
前端安全 XSS 攻击 文章目录前端安全 XSS 攻击XSS 是什么?XSS 攻击的类型DOMXSS 攻击反射型 XSS 攻击存储型 XSS 攻击如何防范 XSS 攻击XSS 是什么? XSS 的全名是 Cross Site Script(跨站脚本)的缩写。这里存在一个问题,为什么缩写是 XSS 而不是 CSS?因为如果叫 CSS 就和层叠样式表 CSS 重音了。所以缩写为 XSSXSS 攻击指的是跨站脚本攻击,是一种代码注入攻击攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗
前端面试】07 安全问题:CSRFXSS
微子细的博客
08-23 1012
本文笔记基于「千古壹号」的GitHub项目:https://github.com/qianguyihao/web 文章目录1.考点2.解决方法2.1 CSRF 1.考点 CSRF XSS 不会太难,考察基本概念、攻击方式、防御措施 2.解决方法 2.1 CSRF 1.基本概念、缩写、全称? CSRF:Cross-site request forgery,跨站请求伪造 2.攻击原理 ...
第5章 前端面试技能拼图3 :知识深度 - 原理和源码
03-13
了解XSSCSRF攻击方式及其防御措施,对于构建安全的前端应用至关重要。 在准备面试的过程中,通过实践项目和解决实际问题来巩固理论知识,会让你在面试中更加自信。同时,阅读开源项目的源码,参与社区讨论,...
第6章 前端面试技能拼图4: 知识广度 - 从前端到全栈
03-13
8. **Web安全**:了解XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的基本防护措施,以及HTTPS和Content Security Policy(内容安全策略)的重要性。 9. **Node.js**:作为全栈开发的关键,理解Node.js的事件驱动非...
详解Web安全攻防战(DoS攻击CSRFXSS、SQL注入)
五撸超人的博客
03-31 3247
       之前学校做的项目都没有像样地考虑过安全方面的问题。今天复习面试的时候看到Web安全部分,学习并总结一下。(PS: Web安全几乎是大厂面试必问的问题,想进大厂的同学注意啦。) 前言        用户信息泄露、网站被黑甚至网银被盗用的事件屡见不...
前端项目-dompurify.zip
09-03
前端项目-dompurify,dompurify是一种仅用于HTML、MathML和SVG的DOM、超快速、超容忍的XSS消毒剂。它是用javascript编写的,适用于所有现代浏览器(safari、opera(15 )、internet explorer(10 )、firefox和chrome,以及几乎所有其他使用blink或webkit的浏览器)。DomPurify是由安全人员编写的,他们在Web攻击XSS方面有着丰富的背景。不要害怕。
xss攻击csrf攻击
Reilyyy的博客
03-20 287
XSS攻击 参考文章 中文全称:跨站脚本攻击; 英文全称:Cross Site Scripting; 是web程序中最常见的漏洞,指的是攻击者在网页中插入客户端脚本(如:javascript),当用户在浏览该网页时,该脚本就会在用户的浏览器上运行,从而达到攻击者的目的,如:窃取用户cookie的信息。 xss攻击实现的方式 在网页中能进行输入的地方(如:输入框),输入一段脚本语言,如:javasc...
xss注入面试题
m0_61990875的博客
11-08 483
xss注入类面试题
详解前端安全XSS&CSRF),看了这篇,面试再也不怕不会说安全相关的了
xiaoxiaofly的博客
05-22 1964
XSS Cross-Site Scripting (跨站脚本攻击)简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。 1.XSS的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本执行。 2.由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。 3.在部分
owasp漏洞常见基础安全面试题 --XSSCSRF、SSRF
ouyang_ly的博客
09-09 1154
XSS跨站脚本攻击XSS原理:将一段恶意攻击的脚本写入网站参数中,当普通用户访问网站时会自动执行攻击者留 下的攻击代码,如果xss类型为反射型,则用户会出现弹窗警告;如果类型为存储型, 那么用户访问网站的cookie值将会发送给攻击者,攻击者通过cookie值获取用户的网站 权限。 XSS存在原因:没有对网站的提交的URL数据进行过滤。 XSS的类型: 1.反射型(构造js语句实...
常见的Web前端攻击
Sunny ic
06-02 586
每天一个前端面试题之 Web前端攻击 一、CFRS 跨站请求伪造,Cross-site request forgery,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 简单来说,CFRS是攻击者盗用合法用户的身份,向服务器发送请求。对服务器来说发送的请求是完全合法的,但是这却完成了攻击者的期望操作。 要完成一次CFRS攻击,受害者必须依次完成以下两个操作: 登陆受信任网站A,并在本地生成cookie 在不登出网站A的情况下访问危险网站B
Web前端安全策略之CSRF攻击与防御
零一的博客
05-30 2221
Web前端之安全性处理(一)引言正文一、跨站请求伪造(CSRF) 引言 接着上一篇文章,本篇文章我们继续来讲解前端如何处理网站的安全问题,本文主要讲解跨站请求伪造(CSRF) 和 点击劫持 。 没看过之前的文章的小伙伴,可以先看一下,这里放一个链接——Web前端不做好以下几点安全方面的处理,网站安全性大大降低(一) 正文 一、跨站请求伪造(CSRF) 跨站请求伪造,英文全称为Cross Site Request Forgery , 缩写CSRF,这种攻击模式主要是 ...
2022前端面试题总结
qq_35363709的博客
02-22 6790
css 一:CSS 盒子模型(Box Model) 外边距(margin)、边框(border)、内边距(padding)、实际内容(content)四个属性。 二:CSS之绝对定位与相对定位的区别 position: absolute 绝对定位:绝对定位是相对于元素最近的已定位的祖先元素,如果元素没有已定位的祖先元素,那么它的位置则是相对于最初的包含块(也就是body)。 position: relative 相对定位:相对位置的坐标参考系是以自己上一次的位置(x,y)作为原点(0,0)
xssDOMPurify过滤框架:一个循环问题以及两个循环问题
Miracle_ze的博客
08-02 1315
过滤
网络安全面试常见问题总结:SQL注入、XSS攻击CSRF攻击防范
网络安全面试题目 以下是根据给定文件信息所生成的知识点: **SQL注入攻击** SQL注入攻击是一种常见的网络攻击方式,攻击者通过在HTTP请求中注入恶意的SQL代码,使服务器将恶意SQL构造成数据库命令并执行。例如,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值