Web页面安全之XSS、CSPF攻击

最新推荐文章于 2024-05-22 22:09:28 发布
最新推荐文章于 2024-05-22 22:09:28 发布
阅读量520 收藏 1
点赞数
文章标签: javascript 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43605299/article/details/113781250
版权
本文介绍了浏览器的同源策略及其灵活性与安全性的权衡,包括允许页面嵌入第三方资源、CORS跨域资源共享和跨文档消息机制。讨论了XSS攻击的类型和防范措施,如内容编码、限制输入长度和使用httpOnly Cookie。同时,阐述了CSRF攻击的原理及防止策略,如设置SameSite属性、验证Referer和Origin,以及使用Token进行身份验证。
摘要由CSDN通过智能技术生成

一、概要:浏览器安全可以分为三大块 — Web页面安全、浏览器网络安全、浏览器系统安全

二、为了安全,浏览器引入的同源策略。

> 同源策略,即如果两个URL的协议、域名和端口号相同,我们就称这两个URL为同源。同源之间可以相互操作DOM,同源之间共享相同的Cookie、IndexDB、LocalStorage。同源之间可以用 XMLHttPRequest 等方式发送数据到站点(服务器)。而非同源站点之间不允许上述操作。

但是若是严格执行 同源策略 ,将所有非同源的url限制了,那么Web变得不再开放,违反了web的初衷,并使得Web项目难以开发。
那么,我们需要为灵活性,出让一些安全性。比如 禁止ajax访问非同源,但是标签中的src可以嵌入、访问第三方资源。
为灵活性开的三个口子 :
1. 页面中可以嵌入第三方资源。有src属性标签 拥有了跨域的能力,诞生了jsonp等技术。
2. 跨域资源共享(CORS)。该机制允许跨域访问控制,让跨域数据传输得以安全进行,比如 设置origin请求头,而服务器设置让那些域名可以跨域访问本站点的资源。
3. 跨文档消息机制。让不同源的页面之前操作dom,window.postMessge。
三、现有跨域机制中,
最低0.47元/天 解锁文章
weixin_43605299
关注
Web安全XSS攻击与防御小结
02-23
恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。攻击者对含有漏洞的服务器发起XSS攻击(注入JS代码)。诱使受害者打开受到攻击...
web安全XSS攻击demo
04-18
在提供的"web安全XSS攻击demo"中,我们可以看到index.html文件可能包含了一个易受XSS攻击页面结构,jquery.min.js可能是用来处理页面交互的JavaScript库,而demo文件可能是一个用于演示如何实施或防止XSS攻击的...
CSRF 攻击详解
最新发布
只为成功找方法 不为失败找借口
05-22 3167
禁用 CSRF 保护有其合理的应用场景,特别是在开发 RESTful API、使用其他防护措施、内部应用和非浏览器客户端时。然而,需要谨慎对待这个决定,并确保在适当的场景中启用 CSRF 保护,以防范潜在的安全风险。
Security:CSRF
思维小刀
04-28 917
定义 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流...
CSRF漏洞介绍(笔记)
weixin_46062722的博客
12-25 358
什么是CSRF? CSRF(英语:Cross-site request forgery)跨站请求伪造,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 最大的区别就是CSRF没有盗取用户的cookie,而是直接的利用了浏览器存储的cookie让用户去执行
CSDF攻击详解
NewMoons的博客
06-11 851
web html 安全
前端安全
qq_40781291的博客
03-12 157
XSS攻击 存储型XSS 反射型XSS DOM型XSS
MPLS TE CSPF
繁星流动天际
04-28 804
本文档关键知识点: CSPF选路原理 对CSPF路径选择有影响的参数 MPLS TE显示路径如何建立? CSPF--constrained SPF(shorest path tree).是MPLS TE路径选择的核心,前面我们已经知道,MPLS TE的功能是: 1,信息的发布 2,路径的计算和建立 3, 隧道中的流量转发。? 在了解了CSPF的工作原理以后,其实就是对路径的计算和建立有了原理性...
MPLS CSPF工作原理详解和相关实验
weixin_33910137的博客
09-03 872
Technorati 标签: MPLS TE CSPF 本文档关键知识点: CSPF选路原理 对CSPF路径选择有影响的参数 MPLS TE显示路径如何建立? CSPF--constrained SPF(shorest path tree).是MPLS TE路径选择的核心,前面我们已经知道,MPLS TE的功能是: 1,信息的发布 2,路径的计算和建立 3, 隧道...
简述XSS和CSRF的概念和区别
weixin_39327883的博客
04-25 1万+
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的...
如何屏蔽防止别的网站嵌入框架代码
09-03
目前,国内很流行一种流氓行为:使用框架(Frame),将你的网页嵌入它的网页中,如何防止嵌入框架代码呢,下面小编给大家整理了相关资料,如何屏蔽防止别的网站嵌入框架代码,需要的朋友一起来学习下
Web 安全】CSRF 攻击详解
weixin_44211968的博客
05-11 1万+
文章目录一、CSRF 简介二、CSRF 原理三、CSRF 的危害四、CSRF 的攻击类型五、CSRF 的防御1. 验证 HTTP Referer 字段2. 在请求地址中添加 token 并验证3. 在 HTTP 头中自定义属性并验证参考链接 一、CSRF 简介 CSRF(Cross Site Request Forgery,跨站域请求伪造),也被称为 “One Click Attack” 或者 Session Riding,通常缩写为 CSRF 或者 XSRF 。 尽管听起来像跨站脚本(XSS),但它与X
什么是CSRF攻击,以及如何防御
weixin_41359273的博客
04-14 8818
什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie给前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
Ajax详解
m0_63260018的博客
07-15 2665
Ajax 是 “Asynchronous JavaScript and XML”(异步 JavaScript 和 XML)的缩写。它是一种在无需重新加载整个网页的情况下,与服务器交换数据并更新部分网页内容的技术。简单来说,Ajax 可以让网页在不影响用户体验的前提下,实时更新数据。
CSRF攻击与防御(写得非常好)
热门推荐
认知 行动 坚持
12-08 25万+
转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
CSRF攻击原理及防护
diubrother的博客
03-09 2184
一、CSRF是什么 CSRF全称为跨站请求伪造(Cross-site request forgery),是一种网络攻击方式,也被称为 one-click attack 或者 session riding。 二、CSRF攻击原理 CSRF攻击利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序,去执行并非用户本意的操作。 三、CSRF攻击实例 角色: 正常浏览网页的用户:User 正...
漏洞及渗透练习平台
KHOST的博客
07-16 2307
ZVulDrillhttps://github.com/710leo/ZVulDrillSecGen Ruby编写的一款工具,生成含漏洞的虚拟机https://github.com/cliffe/secgenbtslab渗透测试实验室https://github.com/CSPF-Founder/btslabWebGoat漏洞练习环境https://github.com/WebGoat/WebGo...
CSRF漏洞详解
Jeromeyoung
03-02 5223
CSRF漏洞(Cross-site request forgery)!!! 同XSS一样,但很多时候很多人经常把XSS与CSRF漏洞混淆,他们之间有着本质的不同,就从信任的角度来区分: XSS:利用用户对站点的信任 CSRF:利用站点对已经身份认证的信任 实际上CSRF漏洞主要结合社会工程发起攻击。 漏洞利用条件: 1、被害用户已经完成身份认证 2、新请求的提交不需要重新身份认证...
漏洞复现系列--Shiro RememberMe 1.2.4 反序列化漏洞
梦之旅行地
02-05 2630
1、漏洞利用前提: Apache Shiro <= 1.2.4 2、靶场: 利用vulhub的靶场在服务器上搭建 注:docker相关配置就没有写了,靶场能运行就行 靶场搭建 git clone https://github.com/vulhub/vulhub.git cd /vulhub/shiro/CVE-2016-4437 docker-compose up -d #启动靶场 启...
理解Web安全XSS攻击类型与防御策略
"Web安全XSS攻击与防御小结" XSS攻击Web应用程序中常见的安全威胁之一,它涉及到攻击者向网站注入恶意脚本,这些脚本在用户的浏览器中执行,可能导致敏感信息泄露、会话劫持或者执行其他恶意操作。攻击者通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值