web防护——XSS和CSRP

最新推荐文章于 2022-12-06 18:33:45 发布
最新推荐文章于 2022-12-06 18:33:45 发布
阅读量295 收藏
点赞数
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43815178/article/details/121097720
版权
本文介绍了XSS(跨站脚本攻击)的类型及其危害,包括发射型、基于DOM和存储型XSS,并提出了防护措施,如内容安全策略和编码验证。同时,阐述了CSRF(跨站请求伪造)的攻击方式,如GET请求和隐藏表单,并给出了防御建议,如设置Cookie的SameSite属性和使用CSRF Token。最后,对比了XSS和CSRF的区别,并提及了对称和非对称加密算法。
摘要由CSDN通过智能技术生成

xss 到底是什么 ?

  黑客在你的浏览器中插入一段恶意JS脚本,窃取你的隐私信息冒充你的身份进行操作,这就是XSS攻击(Cross-Site-Scripting,跨站脚本攻击)。补充一下,为什么不叫CSS,是因为CSS是重叠样式,为了有所区别,即XSS。

XSS的类型有哪些 ?

  1. 发射型XSS(非持久型)
  2. 基于DOM的XSS
  3. 存储型XSS(持久性)
  • 反射型

    恶意JS脚本属于用户发送给网站请求中的一部分,随后网站又将这些部分返回给用户,恶意脚本在页面中被执行,一般发生在前后端一体的应用中,服务端逻辑会改变最终的网页代码。

  • 基于DOM型

    目前更流行前后端分离的项目,反射型XSS无用武之地,但这种攻击不需要经过服务器,网页本身的JS也是可以改变HTML,黑客正是利用这一点来实现的插入恶意脚本。

    最低0.47元/天 解锁文章
    weixin_43815178
    关注
    • 0
      点赞
    • 0
      收藏
      觉得还不错? 一键收藏
    • 0
      评论
    专栏目录
    最近WEB安全扫描问题汇总
    ivan0609的专栏
    06-15 1万+
    严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
    CSRP-官方
    02-15
    CSRP-官方
    第10章 合成/聚合复用原则(CSRP 笔记)
    boyssheng的专栏
    03-12 161
    [b]合成/聚合复用原则[/b] 就是在一个新的对象里面使用一些已有的对象,使之成为新对象的一部分;新的对象通过向这些对象的委派达到复用已有功能的目的。 另一个更简短的表述:要尽量使用合成/聚合,尽量不要使用继承。 [b]合成和聚合的区别[/b] 合成和聚合均是关联的特殊种类。聚合用来表示“拥有”关系或者整体与部分的关系;而合成则用来表示一种强得多的“拥有”关系...
    CSRF 攻击是什么?如何防范?
    岁月如歌去,十年弹指间
    06-14 2万+
    CSRF(Cross-site request forgery)也被称为 one-click attack或者 session riding,中文全称是叫跨站请求伪造。 一般来说,攻击者通过伪造用户的浏览器的请求,向访问一个用户自己曾经认证访问过的网站发送出去,使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击...
    HTML form without CSRF protection,HTML表单没有CSRF保护
    fujianmin19910915的博客
    05-26 4560
    HTML form without CSRF protection =HTML表单没有CSRF保护 CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。这种攻击方式是国外的安全人员于2000年提出,国内直到06年初才被关注,早期我们使用过CSRF攻击实现了DVBBS后台的SQL注射,同时网上也出现过动易后台管理员添加的CSRF漏洞等,08年CSRF攻击方式开始在BLOG、SNS等大型社区类网站的脚本蠕虫中使用。 CS..
    Web 安全之 XSS 和 CSRF
    技术小屋
    04-08 283
    前言 目前web的安全问题主要有下面几个: XSS漏洞 CSRF漏洞 XSS 跨站脚本攻击(Cross Site Scripting),攻击者往 Web 页面插入恶意的 Script 脚本代码,当用户访问页面的时候,嵌入的脚本代码就会执行,这样,攻击者可以通过 Script 脚本代码获取用户的 cookie 等信息,模拟用户的请求等达到攻击目的。 XSS 分类 存储型:X...
    机器学习实现web攻击检测——XSS、SQL注入、Webshell检测.zip
    最新发布
    05-06
    网络安全领域,Web攻击是常见的威胁之一,包括跨站脚本攻击(XSS)、SQL注入攻击和Webshell攻击。这些攻击手段对网站的安全性构成严重威胁,因此,使用机器学习来实现Web攻击检测已经成为一种有效的防御策略。本文...
    ctfhub——web——xss
    weixin_43906500的博客
    05-14 259
    题目如下,为反射型xss
    Web安全——XSS脚本注入攻击
    Daisy花园
    03-06 4173
    好久不发文章,我表示…我还活着。 只不过最近在写Git-books,所以忽略了我的这个博客。这两天在看Web安全相关的东西,觉得确实有意思。XSS跨站脚本攻击XSS 意为跨站脚本攻击(Cross Site Scripting),缩写应该是CSS,但是已经有了一个层叠样式表(Cascading Style Sheets),所以就叫它XSS了。恶意攻击者往Web页面里插入恶意Script代码,当用户浏
    【记录】没有CSRF保护的HTML表单 漏洞解决办法
    Damionew的博客
    02-28 1万+
    解决方法:Cookies Hashing:每一个表单请求中都加入随机的Cookie,由于网站中存在XSS漏洞而被偷窃的危险。 在Jsp文件头引入 <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> 在登录的jsp中添加 <% //增加随机数,解决 ...
    html form without csrf protection,尽管在表单中发送CSRF令牌,但不支持Spring Security CSRF 405方法POST...
    weixin_35123047的博客
    06-18 778
    我使用的是Spring框架版本4.3.5.RELEASE . Spring安全版是4.2.2.RELEASE .我正面临一个与CSRF有关的奇怪问题 . 每当我提交一个表单(来自JSP文件), Sometimes it works fine, the form gets submitted without error but sometimes after submitting the form...
    CSRF及SSRF漏洞
    weixin_52657559的博客
    12-06 518
    CSRF和SSRF漏洞原理,以及如何查找进行利用
    CSRF攻击与防御(写得非常好)
    热门推荐
    认知 行动 坚持
    12-08 25万+
    转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,
    什么是 CSRF 攻击
    点滴
    03-28 3万+
    CSRF 英文全称是 Cross-site request forgery,所以又称为“跨站请求伪造”,是指黑客引诱用户打开黑客的网站,在黑客的网站中,利用用户的登录状态发起的跨站请求。简单来讲,CSRF 攻击就是黑客利用了用户的登录状态,并通过第三方的站点来做一些坏事 通常当用户打开了黑客的页面后,黑客有三种方式去实施 CSRF 攻击。 下面我们以极客时间官网为例子,来分析这三种攻击方式都是怎么实施的。这里假设极客时间具有转账功能,可以通过 POST 或 Get 来实现转账,转账接口如下所示: 有了上面的
    什么是CSRF攻击,以及如何防御
    weixin_41359273的博客
    04-14 8778
    什么是CSRF攻击,以及如何防御1.CSRF攻击的概念2.CSRF攻击简单案例2.1 银行网站项目2.2 危险网站的项目2.3 测试3.默认的CSRF防御策略4前后端分离的CSRF防御策略 1.CSRF攻击的概念 1.CSRF全称为Cross Site Request Forgery,跨域请求伪造。这是一种很常见的Web攻击方式,如下为一个简单的攻击流程。 1)假设用户打开了一个银行网站,并且登录了 2)登录成功后,会返回一个cookie给前端,浏览器将cookie保存下来 3)用户在没有登出银行网站的情况
    html表单没有csrf保护,如何在Symfony 1.4中为表单禁用CSRF保护/验证
    weixin_36411269的博客
    06-19 230
    csrf令牌可为你的表单提供保护, 使其免受跨站请求伪造(CSRF)的攻击, 该攻击迫使最终用户在当前已通过身份验证的Web应用程序上执行不需要的操作。在某些项目中, 由于缺少在视图中定义同一实体的多种形式的symfony, 你最终将使用HTML手动设计表单(这意味着视图上未呈现任何sfForm实例, 并且没有CSRF保护已启用), 但是使用symfony的默认绑定器存储来自数组的信息, 例如:/...
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值