csrf和xss的网络攻击及防范

最新推荐文章于 2023-06-01 11:50:54 发布
最新推荐文章于 2023-06-01 11:50:54 发布
阅读量381 收藏
点赞数
分类专栏: 前端 文章标签: csrf cookie https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43813718/article/details/105587291
版权

什么是CSRF(跨站请求伪造)

当用户访问A(信任网站)网站并登录成功时,在用户处产生A的Cookie。这时候用户访问了B(危险网站)网站,当B要求访问第三方站点(A)的时,浏览器会带着用户最开始登录A的时候产生的Cookie访问A,而A网站并不能分辨请求是由用户发出的还是由B发出的,这时候B网站就能模拟用户操作。例如转账等操作

如何防范CSRF攻击

1.使用token
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求
2.检查http头部的refer
根据 HTTP 协议,在 HTTP 头中有一个字段叫 refer,它记录了该 HTTP 请求的来源地址。例如我们要在网上银行执行转账,那么我们发出去的请求的http中的refer通常是通常是以 bank.example 域名开头的地址,既该银行的页面上的url,而黑客执行CSRF攻击的时候http中的refer是黑客自己网站的url。如果 Referer 是其他网站的话,则有可能是黑客的 CSRF 攻击,拒绝该请求。
3.在 HTTP 头中自定义属性并验证
这种方法也是使用 token 并进行验证,和上一种方法不同的是,这里并不是把 token 以参数的形式置于 HTTP 请求之中,而是把它放到 HTTP 头中自定义的属性里
4.使用验证码
在表单中增加一个随机的数字或字母验证码,通过强制用户和应用进行交互,来有效地遏制CSRF攻击

什么是XSS

XSS全称是Cross Site Scripting即跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。

如何防御XSS

1. 对用户的输入进行检查
不信任任何用户的输入,对每个用户的输入都做严格检查,过滤,在输出的时候,对某些特殊字符进行转义,替换等

2. Cookie设置为httpOnly属性
httponly-这个属性可以防止XSS,它会禁止javascript脚本来访问cookie。

实在不知道什么
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CSRFXSS网络攻击防范
Gary Leong
02-19 396
CSRF:跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶意请求,比如用户登录了一个网站后,立即在另一个Tab页面访问量攻击者用来制造攻击的网站,这个网站要求访问刚刚登陆的网站,并发送了一个恶意请求,这时候CSRF就产生了,比如这个制造攻击的网站使用一张图片,但是这种图片的链接却是可以修改数据库的,这时候攻击者就可以以用户的名义操作这个数据库。 防御方式:使用验证码,检查htt...
漏洞科普:对于XSSCSRF你究竟了解多少
cr4zy的专栏
07-28 362
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。     黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶
网络安全-XSS跨站脚本攻击
码农成长记
10-31 1036
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其
CSRFXSS网络攻击防范
zoepriselife316的博客
04-18 193
CSRF: 跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶意请求。 比如用户登录了一个网站后,立刻在另外一个tab页面访问。攻击者用来制造攻击的网站,这个网站要求访问刚刚登录的网站,并且发送了一个恶意请求,这时候CSRF就产生了。 比如这个制造攻击的网站使用一张图片,但是这种图片的连接却是可以修改数据库的,这时候攻击者就可以以用户的名义,操作这个数据库。 防御的方式:使用验证...
跨站攻击(XSS+CSRF).docx
最新发布
01-05
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。...
PHP开发中csrf攻击的简单演示和防范
10-19
CSRF的全名为Cross-site request forgery,它的中文名为 跨站请求伪造(伪造跨站请求【这样读顺口一点】)CSRF是一种夹持用户在已经登陆的web应用程序上执行非本意的操作的攻击方式。相比于XSSCSRF是利用了系统对...
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
XSSCSRF两种跨站攻击总结
02-26
但是,历史同样悠久的XSSCSRF却没有远离我们。由于之前已经对XSS很熟悉了,所以我对用户输入的数据一直非常小心。如果输入的时候没有经过Tidy之类的过滤,我一定会在模板输出时候全部转义。所以个人感觉,要避免...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
csrfxss网络攻击防范
超级罗伯特的博客
04-18 115
击,比如获取 cookie,或者其他用户身份信息,可以分为存储型和反射型,存储型是。CSRF 就产生了,比如这个制造攻击的网站使用一张图片,但是这种图片的链接却是可。CSRF:跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶。XSS:跨站脚本攻击,是说攻击者通过注入恶意的脚本,在用户浏览网页的时候进行攻。造攻击的网站,这个网站要求访问刚刚登陆的网站,并发送了一个恶意请求,这时候。以修改数据库的,这时候攻击者就可以以用户的名义操作这个数据库,防御方式的。
csrfxss网络攻击防范
whose_moon的博客
08-15 101
CSRF: 跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶意请求, 比如用户登录了一个网站后,立刻在另一个tab页面访问量攻击者用来制造攻击的网站,这个 网站要求访问刚刚登陆的网站,并发送了一个恶意请求,这时候 CSRF 就产生了,比如这个制造 攻击的网站使用一张图片,但是这种图片的链接却是可以修改数据库的,这时候攻击者就可以以 用户的名义操作这个数据库,防御方式的话:使用验证码,检查https头部的refer,使用tokenXSS: 跨站脚本攻击,是说攻击者通过注入恶意的脚本,在
XSS攻击CSRF攻击及其防范
Sun_blog
08-10 267
文章目录XSS攻击分类攻击方式漏洞危害防护方法CSRF攻击漏洞原理防护方法总结 XSS攻击 跨站脚本攻击,通常出现在搜索框、留言板、评论区等地方 分类 反射性、存储型、DOM型 攻击方式 构造恶意链接,诱骗用户点击盗取用户的cookie信息 反射性xss: 通常这一类xss危害较低,对网站没有什么严重的影响,具体表现在用户在搜索框输入xss语句返回弹框,仅出现一次 存储型xss: 存储型对网站危害较大,用户插入xss语句后,恶意语句会存入网站数据库中,用户访问过程都会出现弹框 DOM型xss: DOM——文
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4840
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
4、xsscsrf攻击和防御
Dhun_LI的博客
03-02 261
在互联网普遍的时代,数据安全和个人隐私很容易被泄露,黑客的攻击手段也是层出不穷,本文主要分析两种常见的web攻击XSSCSRF)和防御措施。 什么是XSSXSS(cross-site script):跨站脚本攻击(因缩写和CSS重复,所以叫XSS),指的是攻击者通过在用户浏览器注入恶意可执行脚本,获取用户隐私信息的攻击方式。简单来说就是指利用网站漏洞从用户那里恶意盗取信息。 XSS是一种常见于 Web 应用中的计算机安全漏洞,恶意攻击者向Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时.
XSS,CSRF攻击及预防
Jiangtagong的博客
08-24 745
一、XSS 1、定义 XSS即(Cross Site Scripting)中文名称为:跨站脚本攻击; 比如在有表单输入的地方,用户输入了类似<script>alert("ok")</script>的东西,而服务器没有经过过滤就保存下来了,别的用户看到网页就会弹出提示框。当然,xss攻击还可以做其他更加复杂的事情。比如,获取cookie什么的。 XSS的重点不是在跨站点,而在于脚本的执行。当用户浏览该页面的时候,那么嵌入到web页面中script代码会执行,因此会达到恶意...
什么是CSRF攻击XSS攻击?如何防范
zxjljl的博客
06-01 314
即跨站请求伪造,是一种利用用户的登录状态,以用户身份进行非法的操作。攻击者通过盗用用户的身份,在用户不知情的情况下完成一些危害性的操作,比如删除账号,发邮件等。攻击者通常会诱骗用户点击带有攻击性的链接,或者注入恶意代码到被攻击网站中,等待用户点击触发。,即跨站脚本攻击,是指攻击者在网页中注入可执行的代码,当用户浏览该网页时,注入的代码会被执行,从而达到盗取用户信息、窃取Cookie、篡改网页等恶意目的的攻击方式。攻击者通常会在提交或传输数据时,利用未经过滤的HTML或JavaScript注入攻击代码。
关于 CSRF漏洞
Shawn Jeon`s blog
11-30 835
关于 CSRF漏洞CSRF简介攻击细节CSRF漏洞检测CSRF防御方案 CSRF简介 CSRF(Cross-site request forgery 跨站请求伪造)又称是 XSRF, 也被称为 "One Click Attack"或 “Session Riding”, 此漏洞是利用了网站对用户的浏览器信任 攻击细节 当用户打开某网站且登录后浏览器会与网站产生一个会话, 用户可以利用自己的账号...
前端面经 关于CSRF攻击的原理和防范
Ahua_Core的博客
03-07 271
关于CSRF攻击的原理和防范CSRF攻击的概念CSRF原理方法一、验证HTTP Refer字段方法二、请求地址中添加token并验证 CSRF攻击的概念 CSRF:跨站点请求伪造(cross-site request forgery)。简单来说就是,攻击者借用受害者的身份,向有CSRF漏洞的网站发送恶意请求。 举个例子: 攻击者盗用了受害者的身份,然后借用这个身份发送请求,如转账、购买商品等等。 CSRF原理 先在这个情节中设定三个对象: 有CSRF漏洞的网站:WebA 攻击者:WebB 受害者:User
xsscsrf的区别
07-20
XSS(跨站脚本攻击)和 CSRF(跨站请求伪造)是两种常见的网络安全攻击方式,它们的目标和实现方式不同。 XSS攻击主要针对的是网页应用中存在的漏洞,攻击者通过注入恶意的脚本代码到网页中,使得用户在浏览网页时...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值