安全

最新推荐文章于 2024-08-16 10:04:33 发布
最新推荐文章于 2024-08-16 10:04:33 发布
阅读量92 收藏
点赞数
分类专栏: js 文章标签: 安全 CSRF XSS 防御
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43955911/article/details/88740367
版权

安全

一、CSRF

CSRF(Cross-site request forgery),跨站请求伪造

CSRF攻击理解:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。

攻击原理

来源:博客https://www.cnblogs.com
复用https://www.cnblogs.com/wangyuyu/p/3388169.html的图
 简化图
在这里插入图片描述
 从上图可以看出,要完成一次CSRF攻击,受害者必须依次完成两个步骤:
  1.登录受信任网站A,并在本地生成Cookie。
  2.在不登出A的情况下,访问危险网站B,A存在漏洞。

防御措施
  • Token验证
  • Referer验证
  • 隐藏令牌

二、XSS

XSS(cross-site scripting)跨域脚本攻击
Web攻击中最常见的攻击方法之一,指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

实施XSS攻击需要具备两个条件:
1、需要向web页面注入恶意代码;
2、这些恶意代码能够被浏览器成功的执行

攻击原理及防御措施(待完善)
编码、过滤、校正
防护:
在代码里对用户输入的地方和变量都需要仔细检查长度和对一些特殊字符如“<”,">"";"过滤;
任何内容写到页面之前必须进行编码,避免泄漏htmltag。

Jessie-moving
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
安全配置
shangMD01的博客
12-14 4473
Windows安全配置 打开策略组:win+r 输入gpedit.msc回车 找到密码策略配置:计算机配置-Windows设置-安全设置-账户策略-密码策略 配置账户锁定阈值:计算机配置-Windows设置-安全设置-账户策略-账户锁定策略 配置安全选项:计算机配置-Windows设置-安全设置-本地策略-安全选项 账户:阻止Microsoft账户 交互式登录设置 用户账户控制 高级安全审核配置 账户登录:计算机管理配置-Windows设置-安全设置-高级...
等宝2.0安全框架
网络安全3.0
10-17 2752
一种全新的可用有效抵抗任何网络设备上,必然存在的安全漏洞和后门的安全架构。
远程控制软件安全吗?一文看懂ToDesk、RayLink、TeamViewer、Splashtop相关安全机制
热门推荐
颜淡慕潇
07-31 6万+
一款安全可靠的远程控制软件是安全远程办公的必备要素,合法合理使用能够帮忙解决很多远程操作和支持工作,注意我这里用的是合理合法。然后就国内外远控软件的安全机制对比结果,ToDesk和Splashtop安全层级较高,远控功能全面且安全稳定;单就个人体验来说,Splashtop受限挺多,付费又不忍割肉,而且国内某些企业已经禁用了境外远控软件;国内则推荐ToDesk,关心用户体验,有很多安心的实用功能。
网络空间安全
qq_47040462的博客
11-29 3015
一、恶意程序 威胁个人、企业与国家的信息与系统安全的重要因素 能导致公私财务受损 危机人生安全、公共安全、国家安全 什么是恶意程序:运行在目标计算机上,使系统按照工具者意愿而执行任务的一组指令 ...
信息安全风险评估
weixin_46273733的博客
10-28 4519
资产识别 风险概述 “风险”术语的由来: 有风就有险(古代的渔民和海员)。 常见的风险: 自然灾害风险(地震、台风)、战争风险(台海、陈涉吴广)、金融风险(股票)…… 国际标准化组织对风险的定义: “风险是不确定性对目标的影响”。 何谓信息安全风险? ——人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件发生及其对组织造成的影响。 风险和安全 风险和安全是一个矛盾统一体,成反比关系(感受到越不安全,感受到的
【信息安全】数据安全与信息安全
m0_49351255的博客
06-15 5779
数据安全与信息安全的关系,是包含的关系,信息安全包括了数据安全与网络安全,数据安全主要是数据使用的安全
工控网络安全学习路线
weixin_43977912的博客
09-26 3596
工业背景 对于我国而言,工业控制系统安全所面临的重要问题是自主可控的问题,我国在工控领域对国外设备和技术的依赖程度强。据中国产业信息研究网调查统计结果显示,全国5000多个重要的工业控制系统中,95%以上的工控系统操作系统均采用国外产品;在我国的工控系统产品上,国外产品已经占领了大部分市场,如PLC国内产品的市场占有率不到1%,工业中用到的逻辑控制器95%是来自施耐德(法国)、西门子(德国)、发那科(日本)等的国外品牌。 以扬州市为例,自2014年1月起,在全市范围内启动重点行业重要工业控制系统基本情况调查
数据安全5A之授权
武天旭的博客
10-21 4328
一、引子 在专栏开篇作中我有提到数据安全架构中的5A概念,5A概念中的其中一个A是授权,因此,本篇我们来聊聊授权相关的东西。 授权的概念:向通过身份认证的主体(用户/应用等)授予或拒绝访问客体(数据/资源等)的特定权限。比如员工默认只能查询自己的薪酬数据,但指定级别以上的主管人员有权查询管辖范围内员工的薪酬数据。
QingScan 支持墨菲安全项目 murphysec
汤青松博客
04-11 6064
背景最近遇到突发裁员,我面临失业危机的情况下发表了《QingScan作者紧急求职信》这篇文章,发出来之后传播力度比我想象中要大很多,十分感谢各位大佬帮推荐工作;最近找工作的方向是乙方安全创业型公司,因为我想在这份工作中全力去开发”QingScan”(会以公司名义开发一个新项目)这种工作流的工具,来回报大家的关注和支持,目前手里已经有几份offer,工作已基本确定,居家隔离结束后将入职。这几天得知了前同事从甲方出来创业,做一款叫做murphysec,是一款软件供应链安全分析的开源项目,这种项目之前在funpl
数据安全治理白皮书5.0
07-06
数据安全治理白皮书5.0是中关村网络安全与信息化产业联盟数据安全治理专业委员会发布的一份重要行业报告,旨在探讨和解决当前数字经济发展中的数据安全问题。随着大数据、云计算、人工智能、区块链和物联网等新技术...
道路车辆功能安全 ISO26262 ISO26262 ISO26262 标准 中文
10-17
《道路车辆功能安全——ISO26262标准解析》 ISO26262,全称为《道路车辆功能安全》标准,是国际标准化组织(ISO)为汽车行业制定的一套全面而严谨的安全标准,旨在通过系统化的过程管理,降低汽车电子和电气系统的...
精品推荐-CISP信息安全工程师培训课件全套(共23章).zip
04-01
精品推荐-CISP信息安全工程师培训课件全套,共23章。 CISP-01-信息安全测评 CISP-02-信息安全培训和CISP知识体系介绍 CISP-03-信息安全保障综述 CISP-04-信息安全模型 CISP-05-信息安全模型 CISP-05-密码学基础 ...
《落实算法安全主体责任基本情况》模版
07-26
根据《互联网信息服务算法推荐管理规定》第七条 算法推荐服务提供者应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全...
OWASP安全编码规范1
08-03
2012 年 8 月目录序言 3软件安全与风险原则概览 4输入验证: 5输出编码: 5身份验证和密码管理: 6会话管理: 7访问控制: 7加密规范: 8错误处理
安全:企业上云后不可忽视的安全挑战与解决方案
A526847的博客
08-14 586
企业上云是数字化转型的必然趋势,但云安全风险也如影随形。企业必须正视云安全挑战,采取切实有效的措施来保障云安全。通过数据加密、访问控制、安全审计、备份与恢复、灾备管理、选择可信的云服务供应商和加强内部安全管理等手段,企业可以构建完善的云安全体系,确保云服务的可靠性和安全性。在未来的数字化转型中,云安全将成为企业不可或缺的重要保障。
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全
最新发布
jiuxindianzi的博客
08-16 426
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。
AI安全-文生图
深度安全实验室
08-15 253
AI安全-文生图
等保2.0时代,企业如何平衡安全与发展
waitaikong_的博客
08-14 363
此外,等保2.0还强化了安全管理的要求,企业需要建立完善的安全管理体系,包括安全策略、管理制度、人员培训、应急预案等,以确保安全保护措施的有效实施。等保2.0(网络安全等级保护2.0)是中国网络安全领域的重要标准,它在原有等保1.0的基础上进行了全面升级,以适应云计算、大数据、物联网、移动互联网等新兴技术的安全保护需求。等保2.0的实施促使企业加强网络安全管理和技术防范措施,这不仅有助于提升企业的网络安全防护水平,降低安全风险,还能提高企业的竞争力和信誉度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值