浏览器相关---安全防范

最新推荐文章于 2024-04-20 16:11:19 发布
最新推荐文章于 2024-04-20 16:11:19 发布
阅读量269 收藏
点赞数
分类专栏: js 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43932245/article/details/106406747
版权

XSS
CSRF
点击劫持
中间人攻击

XSS

思考:什么是 XSS 攻击?如何防范 XSS 攻击?什么是 CSP?

XSS 简单点来说,就是攻击者想尽一切办法将可以执行的代码注入到网页中

XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型

持久型

持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击。

举个例子,对于评论功能来说,就得防范持久型 XSS 攻击,因为我可以在评论中输入以下内容
在这里插入图片描述

这种情况如果前后端没有做好防御的话,这段评论就会被存储到数据库中,这样每个打开该页面的用户都会被攻击到。

非持久型

非持久型相比于前者危害就小的多了,一般通过修改 URL 参数的方式加入攻击代码,诱导用户访问链接从而进行攻击。

<!-- http://www.domain.com?name=<script>alert(1)</script> -->
<div>{{name}}</div>

如何防御

对于 XSS 攻击来说,通常有两种方式可以用来防御。

转义字符

首先,对于用户的输入应该是永远不信任的。最普遍的做法就是转义输入输出的内容,对于引号、尖括号、斜杠进行转义

function escape(str) {
  str = str.replace(/&/g, '&amp;')
  str = str.replace(/</g, '&lt;')
  str = str.replace(/>/g, '&gt;')
  str = str.replace(/"/g, '&quto;')
  str = str.replace(/'/g, '&#39;')
  str = str.replace(/`/g, '&#96;')
  str = str.replace(/\//g, '&#x2F;')
  return str
}

通过转义可以将攻击代码 <script>alert(1)</script> 变成

// -> &lt;script&gt;alert(1)&lt;&#x2F;script&gt;
escape('<script>alert(1)</script>')

但是对于显示富文本来说,显然不能通过上面的办法来转义所有字符,因为这样会把需要的格式也过滤掉。对于这种情况,通常采用白名单过滤的办法,当然也可以通过黑名单过滤,但是考虑到需要过滤的标签和标签属性实在太多,更加推荐使用白名单的方式。

const xss = require('xss')
let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>')
// -> <h1>XSS Demo</h1>&lt;script&gt;alert("xss");&lt;/script&gt;
console.log(html)

以上示例使用了 js-xss 来实现,可以看到在输出中保留了 h1 标签且过滤了 script 标签。

CSP

CSP 本质上就是建立白名单,开发者明确告诉浏览器哪些外部资源可以加载和执行。我们只需要配置规则,如何拦截是由浏览器自己实现的。我们可以通过这种方式来尽量减少 XSS 攻击。

通常可以通过两种方式来开启 CSP:

  1. 设置 HTTP Header 中的 Content-Security-Policy
  2. 设置 meta 标签的方式 <meta http-equiv="Content-Security-Policy">

这里以设置 HTTP Header 来举例

只允许加载本站资源

Content-Security-Policy: default-src ‘self’

只允许加载 HTTPS 协议图片

Content-Security-Policy: img-src https://*

允许加载任何来源框架

Content-Security-Policy: child-src 'none'

CSRF

思考:什么是 CSRF 攻击?如何防范 CSRF 攻击?

CSRF 中文名为跨站请求伪造原理就是攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发起请求。如果用户是在登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑。

举个例子,假设网站中有一个通过 GET 请求提交用户评论的接口,那么攻击者就可以在钓鱼网站中加入一个图片,图片的地址就是评论接口

<img src="http://www.domain.com/xxx?comment='attack'"/>

那么你是否会想到使用 POST 方式提交请求是不是就没有这个问题了呢?其实并不是,使用这种方式也不是百分百安全的,攻击者同样可以诱导用户进入某个页面,在页面中通过表单提交 POST 请求。

如何防御

  1. Get 请求不对数据进行修改
  2. 不让第三方网站访问到用户 Cookie
  3. 阻止第三方网站请求接口
  4. 请求时附带验证信息,比如验证码或者 Token

点击劫持

思考:什么是点击劫持?如何防范点击劫持?

点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过 iframe 嵌套的方式嵌入自己的网页中,并将 iframe 设置为透明,在页面中透出一个按钮诱导用户点击。

在这里插入图片描述

对于这种攻击方式,推荐防御的方法有两种。

X-FRAME-OPTIONS
X-FRAME-OPTIONS 是一个 HTTP 响应头,在现代浏览器有一个很好的支持。这个 HTTP 响应头 就是为了防御用 iframe 嵌套的点击劫持攻击。
该响应头有三个值可选,分别是

  • DENY,表示页面不允许通过 iframe 的方式展示
  • SAMEORIGIN,表示页面可以在相同域名下通过 iframe 的方式展示
  • ALLOW-FROM,表示页面可以在指定来源的 iframe 中展示

JS 防御

对于某些远古浏览器来说,并不能支持上面的这种方式,那我们只有通过 JS 的方式来防御点击劫持了。

<head>
  <style id="click-jack">
    html {
      display: none !important;
    }
  </style>
</head>
<body>
  <script>
    if (self == top) {
      var style = document.getElementById('click-jack')
      document.body.removeChild(style)
    } else {
      top.location = self.location
    }
  </script>
</body>

以上代码的作用就是当通过 iframe 的方式加载页面时,攻击者的网页直接不显示所有内容了。

中间人攻击

思考:什么是中间人攻击?如何防范中间人攻击?

中间人攻击是攻击方同时与服务端和客户端建立起了连接,并让对方认为连接是安全的,但是实际上整个通信过程都被攻击者控制了。攻击者不仅能获得双方的通信信息,还能修改通信信息。

通常来说不建议使用公共的 Wi-Fi,因为很可能就会发生中间人攻击的情况。如果你在通信的过程中涉及到了某些敏感信息,就完全暴露给攻击方了。

当然防御中间人攻击其实并不难,只需要增加一个安全通道来传输信息。HTTPS 就可以用来防御中间人攻击,但是并不是说使用了 HTTPS 就可以高枕无忧了,因为如果你没有完全关闭 HTTP 访问的话,攻击方可以通过某些方式将 HTTPS 降级为 HTTP 从而实现中间人攻击。

邱先生~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
常见的web安全问题及防范方法
Adam的博客
12-08 7958
sql注入漏洞名称SQL注入漏洞漏洞原理通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。漏洞分类1. 平台层SQL注入:            不安全的数据库配置或数据库平台的漏洞所致2. 代码层SQL注入:            程序员对输入未进行...
360极速浏览器-13.5.2044.0绿化优化版.7z
最新发布
06-07
2. **安全性**:360作为国内知名的网络安全公司,其浏览器内置的安全机制能有效防范钓鱼网站、恶意软件,提供安全的上网环境。 3. **兼容性**:由于采用了Chromium内核,360极速浏览器与大部分基于Chrome的扩展和...
关于web安全方面的几个防范措施
smarty123的博客
12-08 1579
1,关于sql注入 用户提交登录信息的时候可以用 password ' or 1 #   这样原来sql拼接语句就成了  select * from table where username=xxx and password ='password' or 1#' 这样就登陆用户得到了登录信息了。完成了一次sql注入 解决方式 第一:用addslashes  把提交的字符 转义一下特
前端网络安全防范详解
白天不懂夜的黑
01-22 8531
借鉴了很多文章,参考很多资料 浅谈CSRF XSS 涉及的面试题 什么是XSS攻击?如何预防XSS攻击 1 基础概念 XSS(Cross Site Scripting)攻击全称跨站脚本攻击是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户...
浏览器原理---浏览器安全
sinat_34896766的博客
04-19 779
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 可以分为存储型、反射型和 DOM 型。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。获取页面的数据,如DOM、cookie、localStorage;DOS攻击,发送合理请求,占用服务器资源,从而使用户无法访问服务器;破坏页面结构;
浏览器 - 前端安全
Xxxxxl17的博客
03-15 563
浏览器 - 前端安全
浏览器原理--跨站脚本攻击(XSS)、CSRF攻击
xuan的博客
06-07 2286
(1) XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。(2)恶意脚本都能做哪些事情(3)恶意脚本是怎么注入的1、在一个反射型 XSS 攻击过程中,恶意 JavaScript 脚本属于用户发送给网站请求中的一部分,随后网站又把恶意 JavaScript 脚本返回给用户。当恶意 JavaScript
如何防范计算机安全隐患,浏览器常见安全问题解析及如何加强防范与应对 -电脑资料...
weixin_34820733的博客
07-20 497
当互联网在人们的生活中发挥出越来越大的作用时,作为互联网入口的浏览器也显得越来越为重要,正是由于浏览器的重要性,这也使得其成为众多网络攻击瞄准的目标,多年以来,浏览器安全问题一直是各种争议的焦点。尽管如今不再是以往IE独霸天下的局面,Firefox、Opera、Chrome,还有Safari等后起之秀层出不穷,而这些包括微软新推出的IE8,它们都标榜各自的安全性能,但不管采用哪种浏览器,都难以避...
v-html跨站脚本攻击,iis安全---防范XSS跨站式脚本攻击
weixin_31464715的博客
06-22 417
iis安全---防范XSS跨站式脚本攻击原文:网站要怎么防范常见的XSS跨站式脚本攻击呢,我们先从XSS跨站式脚本攻击的原理来说起。网站遭受XSS跨站式脚本攻击的基本原理1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。其攻击过程如下所示:A给B发送一个恶意构造了Web的URL。B点击并查看了这个URL。恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。具有漏...
浏览器原理 之 浏览器安全
每天积累一点点
04-20 1217
XSS 攻击,即跨站脚本攻击(Cross-Site Scripting),是一种常见的网络安全漏洞,它允许攻击者将恶意脚本注入到其他用户浏览的正常网页中。这些恶意脚本通常以 JavaScript 形式出现,并在用户的浏览器中执行。执行的结果可以是窃取用户的cookies、会话令牌,或者对用户的账户进行其他恶意操作。存储型 XSS:恶意脚本被永久存储在目标服务器上,例如数据库、消息论坛、访客留言等,当其他用户请求数据时脚本被发送到用户的浏览器执行。反射型 XSS。
计算机研究 -基于协作式代理的计算机网络安全防范体系结构.pdf
06-29
### 基于协作式代理的计算机网络安全防范体系结构 #### 概述 随着计算机网络技术的迅猛发展,网络的应用范围越来越广泛,信息资源的共享空间和时间得到了极大的拓展。然而,由于互联网在设计上的局限性,网络安全...
计算机网络安全与计算机病毒的防范研究-网络安全论文-计算机论文.docx
06-06
防止病毒的关键在于提高防范意识,避免访问不安全网站,不打开来源不明的邮件,以及定期更新操作系统和软件,修复可能存在的安全漏洞。 为了保护计算机网络安全,管理层面的措施包括加强教育,提高用户的安全意识,...
计算机网络安全影响因素与防范对策-计算机网络论文-计算机论文.docx
06-07
人们在实现资源共享的同时,如果不注意安全意识,在网上随意下载一些客户端软件、工具系统、浏览器等其它软件时,如果这些软件携带一些不安全因素,往往容易造成自身不必要的损失。 计算机网络安全影响因素与防范...
安卓浏览器WebViewJSHTML5相关-Android调用JavaScript.rar
07-29
这个"安卓浏览器WebViewJSHTML5相关-Android调用JavaScript.rar"的压缩包文件,很显然,聚焦于Android如何利用WebView来调用JavaScript代码以及处理HTML5相关的功能。下面我们将深入探讨这一主题。 首先,WebView是...
js理解---Object对象常用方法
邱先生的博客
05-21 881
Obejct.assgin() Obejct.create() Object.defineProperty() Object.defineProperties() Object.keys() Object.values() Object.entries() Obejct.assgin() 描述 Object.assign() 方法用于将所有可枚举属性的值从一个或多个源对象复制到目标对象。它将返回目标对象。 语法 Object.assign(target, ...sources) 案例 const .
js理解---原型和原型链
邱先生的博客
05-09 715
导读:什么是原型?什么又是原型链? 原型 先写一个简单的代码示例。 // 构造函数 function Foo(name, age) { this.name = name } Foo.prototype.alertName = function () { alert(this.name) } // 创建示例 var f = new Foo('zhangsan') f.printName = function () { console.log(this.name) } // 测试 f.
输入 URL 到页面渲染的整个流程
邱先生的博客
05-29 584
一次完整的HTTP事务流程 域名解析,浏览器根据 DNS 服务器得到域名的 IP 地址 发起TCP三次握手 建立TCP连接后向这个 IP 的机器发送 HTTP 请求 服务器收到、处理并返回 HTTP 请求,浏览器得到HTML代码 浏览器解析HTML代码,渲染页面 DNS解析域名 DNS 的作用就是通过域名查询到具体的 IP。 因为 IP 存在数字和英文的组合(IPv6),很不利于人类记忆,所以就出现了域名。你可以把域名看成是某个 IP 的别名,DNS 就是去查询这个别名的真正名称是什么。 在 TCP
清楚的理解module.exports与exports 和export与export default有什么区别
邱先生的博客
04-08 517
文章目录CommonJS模块规范exports 与 module.exportsES6模块规范export和export defaultexportexport default 首先说明一下 CommonJS模块规范(node用的就是这个)是运行时加载,es6模块规范是编译时加载 运行时加载 ---- 加载的时候引入对应的模块,整体引入,即使你只有几个函数,但也是整体模块都引入进来了 编译时加载 ---- 编译的时候就知道需要引入模块中的那些函数,按需引入,在加载之前就已经确定好引入关系 node
破解浏览器安全:XCS漏洞解析与防范
去年的浏览器安全事件引起了广泛关注,尤其是在面对众多看似安全但实际上存在隐患的浏览器时,用户对浏览器安全性的疑虑加深。本文主要探讨了浏览器安全问题,特别是针对XCS(CrossContextScripting,跨域脚本攻击...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值