前端安全漏洞 XSS 与 CSRF 异同

最新推荐文章于 2024-09-04 00:03:23 发布
最新推荐文章于 2024-09-04 00:03:23 发布
阅读量2.5k 收藏 8
点赞数 1
分类专栏: 前端安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44135121/article/details/90484771
版权

前端安全漏洞 XSS 与 CSRF 异同

一、前言

前面有写过 前端安全漏洞之 XSS前端安全漏洞之 CSRF 的文章,本着程序员开发宗旨低内聚的原则,这里另出一遍文章讲讲两者之间的相同点和区别。

二、相同点

  1. 既然是前端安全漏洞,肯定就是前端脚本的攻击,主要都是通过 a 标签和 iframe 标签的 href 属性,img 标签的 src 属性等途径进行攻击。
  2. 两者都可以通过非法站点获取到受信任站点的 cookie 信息。

三、区别

1. 侧重点不同

XSS 攻击是注重脚本攻击,比如在公共站点暴露出来的输入框中插入任何非法脚本,这些脚本可使公共站点出现异常现象;而 CSRF 攻击是注重伪造他人身份发送请求,比如伪造他人身份发一些转账、发邮件、购物等非法请求。

2. 攻击源不同

XSS 攻击是在公共站点中自己的页面嵌入非法脚本,等他人上钩;而 CSRF 攻击是在自己的站点中嵌入脚本诱使他人点击而触发非法请求。

3. 传播范围不同

XSS 攻击可以将恶意脚本存储在公共站点的服务器,那么只要登陆到该公共站点的用户都会收到影响;而 CSRF 攻击主要是仿造他人身份发送请求,所以收到影响的只是个人

4. 攻击形式不同

XSS 攻击主要是通过浏览器提供互动入口的形式嵌入非法脚本信息,比如 input 框输入用户名和密码、textarea 框输入留言或评论等;而 CSRF 攻击是早就准备好嵌有非法请求的链接,等待受害者点击并且受害者身份认证未过期的形式下自动执行脚本。
在这里插入图片描述

XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1605
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击CSRF攻击的原理、特点以及xssCSRF区别
网络攻防之XSSCSRF
mplanning的博客
05-06 1110
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
CSRFXSS区别
weixin_44475084的博客
03-23 1421
CSRF CSRF的基本概念、缩写、全称攻击原理防御措施如果把攻击原理和防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图...
实习day6
最新发布
m0_63785972的博客
09-04 989
1.原理不同CSRFCSRF是一种依赖web浏览器的代理人攻击(deutyattack)。攻击者通过伪造受害者的请求来冒充用户在站内的正常操作。这通常是通过诱导用户点击恶意链接或访问恶意网站来实现的,这些链接或网站会向受害者已登录的网站发送伪造请求。XSSXSS是一种代码注入攻击攻击者将恶意脚本(通常是JavaScrit)注入到目标网站中。当其他用户浏览这些被注入恶意脚本的页面时,恶意脚本会在用户的浏览器上执行,从而达到攻击用户的目的。2.目标不同。
前端系统复习之安全篇
李天下
09-04 271
CSRF CSRF的基本概念、缩写、全称 攻击原理 防御措施 如果把攻击原理和防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发co...
XSS攻击CSRF攻击及其区别
meimeib的博客
07-16 2010
XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式) 持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台)。 XSS虽然不是什么新鲜玩意,但
XSS,CSRF,SSRF三种漏洞的区别和共同点
18年3月萌新白帽子
07-03 1万+
以下言论均是个人在学习过程中总结而来,仅代表个人观点,由于博主也是web安全初学者,所以发表的观点很可能会存在一些错误或者有些不严谨的地方,如果您觉得哪里说的不对或者不合适,请随时在下方留言,希望能跟大家能够一起学习、进步,感谢。个人总结:相同点:XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。不同点:XSS是服务器对用户输入的...
csrfxss攻击的详解与区别
热门推荐
wuhuagu_wuhuaguo的博客
02-02 1万+
一、csrf攻击 1.CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的...
csrfxss区别
a843538946的专栏
12-20 1281
csrf是不获取用户的cookie的,而xss是获取用户cookie的,从这一点,csrf更容易入侵。 csrf是让用户自己访问黑客发送的链接
2021-01-01 JavaScript面试题6:get和post区别,JSONP原理,缓存,XSSCSRF区别,HTTP与HTTPS的区别
Amanda&Rachel的博客
01-01 199
24.get和post区别 请求方式 GET POST 参数位置 参数拼接到url的后面 参数在请求体中 参数大小 受限于浏览器url大小,一般不超过32K 1G 服务器数据接收 接收1次 根据数据大小,可分多次接收 适用场景 从服务器端获取数据 向服务器提交数据 安全性 参数携带在url中,安全性低 相对于GET请求,安全性更高 25.JSONP原理 由于浏览器的同源策略限制,不允许跨域请求;但是页面中的 script、img、iframe标签是例外,不受同源策略限制。
前端数据交互: Ajax和WebSocket的对比与应用
本文将介绍Ajax和WebSocket的概念、工作原理以及各自的优势和局限性,并通过对比它们在数据交互方式、实时性能、兼容性和安全性等方面的差异,帮助读者选择适合的数据交互方式。 ### 1.2 研究目的 本文旨在深入...
【面试】前端常见面试题总结
qq_46580087的博客
05-04 5637
这些钱都是你的。
2021Web安全面试题大全(附答案详解)看完稳了
m0_59991869的博客
10-13 1万+
人人都有一个进大厂的梦想,而进大厂的门槛也可想而知,所以这里整理了一份安全大厂的面试大全,看完文章如果对你有帮助的话希望能够点赞+收藏+关注!感谢! 本篇文章对于学习Web安全的朋友来说应该是目前最全面的面试题合集了,后续也会陆续更新其他大厂的面试题目和知识点。另外我还整理了许多关于Web安全的学习资料+工具包等等,需要的点击Web安全学习 一、渗透测试面试题,包含大量渗透技巧 1.拿到一个待检测的站,你觉得应该先做什么? a、信息收集 1、获取域名的whois信息,获取注册者邮箱姓名电话等,丢
2020 年最新 Web 前端开发经典面试试题及答案(建议收藏)
BOM485480的博客
08-11 6561
本篇收录了一些面试中经常会遇到的经典面试题以及自己面试过程中遇到的一些问题,并且都给出了我在网上收集的答案。特别在今年,相信很多的前端开发者会有一些跳槽的悸动,通过对本篇知识的整理以及经验的总结,希望能帮到更多的前端面试者。 1、JavaScript 中如何检测一个变量是一个 String 类型?请写出函数实现 typeof(obj) === "string" typeof obj === "string" obj.constructor === String 2、请用 js 去除字符串空格? 方法一:
XSSCSRF
培训班的蜗牛
11-05 894
感谢《码农翻身》的文章让我深刻记住这两种攻击方式。 1、《浏览器家族的安全反击战》 2、 《黑客三兄弟》 3、  《黑客三兄弟续》  下面是我的整理内容: 目录 矛与盾教量: 矛:利用js获取其他网站的cookie  盾:JS 同源策略 {protocol, host, port} 矛:JS 注入 盾:cookie 添加 HttpOnly 属性 禁止js 读取 矛:JS 假造...
XSS攻击CSRF攻击
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
XSS 攻击CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 2001
XSS 攻击CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
XSSCSRF区别以及解决方案。
Mingju's Blog
11-12 522
XSS跨站脚本攻击 跨站脚本攻击(Cross Site Scripting)缩写为CSS, 但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。 因此,有人将跨站脚本攻击缩写为XSS。 解释: 利用网站开发的漏洞,在用户请求的URL中加入XSS代码(Html,js,java等)作为参数传递给服务器,服务器端响应并执行。 后果: 成功后,攻击者可能会得到一些权限或者...
xsscsrf攻击
weixin_30379531的博客
05-30 70
xss(cross site scripting)是一种最常用的网站攻击方式。 一.Html的实体编码 举个栗子:用户在评论区输入评论信息,然后再评论区显示。大概是这个样子: <span>User Data</span> 如果对User Data不做任何过滤,那么一些喜欢搞怪的小伙伴通常会“注入”一些其他东东,诸如: <span>alert...
Web前端安全:XSSCSRF深度剖析
此话题涵盖了多个子主题,包括XSS(跨站脚本)漏洞挖掘与利用、CSRF(跨站请求伪造)、对域和同源策略的理解,以及Content Security Policy(内容安全策略)等。 1. XSS漏洞挖掘与利用: XSS攻击是一种常见的Web...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值