csrf,xss是什么?

最新推荐文章于 2024-08-31 00:26:53 发布
最新推荐文章于 2024-08-31 00:26:53 发布
阅读量150 收藏
点赞数
分类专栏: web 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44326033/article/details/106558475
版权

csrf:(Cross-site request forgery)

中文名:跨站请求伪造

原理: 安全网站a生成本地cookie.在不退出a网站的情况下,访问csrf网站

ps('现在最新的浏览器已经解决了这一问题)

常见的防护方法:

  • 生成token(中文名:令牌)验证,用户提交数据中携带token,token不合格就拒绝这个请求
  • referer验证:Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中查看一个request信息.

xss:(Cross Site Scripting)

中文名:跨域脚本攻击

原理:攻击者向有xss漏洞(未对html,js前端语言进行安全检测)的网站输入恶意html代码,当用户访问网站时,执行html代码.

类似于sql注入(sql注入是用户输入sql语句作为输入,从而对数据进行增删改查.),

解决办法:

  • 后端对html,js代码排查
  • 通过正则过滤

解决案例

django中有自带的排查功能

from django.utils.safestring import mark_safe

def view(request):
    ...省略...
    # page_html = "<a href='#'>首页</a>"
    page_html = mark_safe("<a href='#'>首页</a>")
    ret = {"page_html": page_html}
    return render(request, "demo.html", ret)

哦了,介绍完毕,有问题留言.

前端技能树,面试复习第 36 天—— 浏览器原理:如何预防 XSS 攻击与 CSRF 攻击
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
07-24 351
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而**盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。...
CSRFXSS有什么区别
m0_56578216的博客
09-10 704
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。
XSSCSRF区别详谈
2301_76694151的博客
04-08 635
首先我们要对xsscrsf进行足够的了解才能分清楚两者的区别。
一文带你了解浏览器安全(XSSCSRF)
最新发布
weixin_46714216的博客
08-31 906
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。攻击者可以通过这种攻击方式可以进行以下操作:获取页面的数据,如DOM、cookie、localStorage;DOS攻击,发送合理请求,占用服务器资源,从而使用户无法访问服务器;破坏页面结构;
xss,csrf
张大晴的博客
10-13 970
文章转自: csrf介绍: https://www.cnblogs.com/shytong/p/5308667.html http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html https://www.cnblogs.com/cxying93/p/6035031.html xss介绍:https://www.cnblogs...
XSSCSRF是什么
xushilong0812的博客
11-23 411
XSS XSS:Cross-site scripting(跨站脚本攻击) 攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。指攻击者利用网站程序对用户的输入输出过滤不足,导致恶意代码在页面执行,对受害者造成cookie资料窃取、会话劫持、钓鱼欺骗等危害; 如: 弹 出 恶 意 警 告 框 :<script>alert(“XSS”);</script> 存储型 XSS: 注入型脚本永久存储在目标服务器上。当浏览器请求数据时,脚本从服务器上传回并执行。 反射型 XSS: 当用户点击一
CSRFXSS
hcy48的博客
10-06 559
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html 讲CSRFXSS区别,简单一段文字XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通
实战xsscsrf
yang_zongjun的专栏
05-05 1772
web安全很早就关注过,但是xsscsrf一直都是理论学习,今天有机会实战了下先贴上onenote笔记:XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 来自 https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0 xss(corss-site s
xsscsrf(详解)
qq_62046696的博客
06-30 4380
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
前端安全CSRFXSS该怎么防御?
椰卤工程师的个人博客
11-12 2469
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的时候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击是页面被注入了恶意的代码,利用恶意脚本,攻击者可以获取用户的Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
什么是CSRF攻击?
weixin_40851188的博客
05-01 1674
什么是 CSRF 攻击? CSRF 概念:CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利 用。 尽管听起来像跨站脚本(XSS),但它与 XSS 非常不同,XSS 利用站点内的信任用户,而 CSRF 则通过伪装成受信任用户的...
什么是CSRF攻击,如何防范CSRF攻击?
weixin_47450807的博客
03-02 7033
什么是CSRF攻击,如何防范CSRF攻击?
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4937
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
CSRFXSS认识
小白菜的博客
07-26 112
CSRF (Cross-site request forgery): 跨站请求伪造 即攻击者盗用了你的身份,以你的名义发送恶意请求 CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的! 简单阐述CSRF攻击的思想: 1.user 浏览并登陆信任 网站 A 2.网站A 验证通过,在 user 产生A的Cookie 3.user 在没有登出A网站的情况下,访问危险网站B 4.网站B 要求访问 网站A ,发出一个请求(r
CSRF攻击+XSS攻击
will5451的博客
05-17 515
什么是XSS攻击?如何防止XSS攻击? 1.XSS攻击 XSS(Cross-Site Scripting)—跨站脚本攻击,简称XSS,是一种代码注入攻击,攻击者通过在目标网址注入恶意脚本,使之在用户的的浏览器上运行。利用这些恶意脚本,攻击者获取用户敏感信息如Cookie、SessionID等,进而危害数据安全XSS的本质:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。 2. 如何防止? 由于问题的源头是js代码的注入,那么我们便想办法不让js生效 方式1
XSSCSRF
sun_cainiao的博客
03-21 769
介绍两种最常见的针对 web 应用的攻击方式。 XSS (Cross-site scripting) 跨站脚本攻击 攻击者能够利用跨站脚本漏洞来绕过访问控制(access control),比如单源策略(same-origin policy)。 单源策略: 如果一个站点的内容有权限访问浏览器上的某些资源(比如 cookie),那么来自这个站点的所有内容都可以共享这些权限。 跨站点脚...
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2191
Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击。攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击。
XSSCSRF
妍思码匠的博客
08-10 2172
如果登陆了一个网站,不小心又打开另一个恶意网站,如果没有安全策略,则他可以对已登录的网站进行任意的dom操作、伪造接口请求等,因此安全策略是必要的;浏览器的同源策略限制了非同源的域名之间不可以对DOM进行读写操作不可以读取非同源的cookie、indexDB、localStorge等数据与资源。
XSSCSRF定义
2301_77512689的博客
05-04 840
验证码的验证思路是在服务器端生成验证字符串并保存在Session中,然后在客户端使用图片显示这段字符串,当用户输入验证码之后交给服务器处理,如果验证码与Session中的字符串相匹配,就代表验证码正确,可以发起请求,反之亦然。反射型XSS也被称为非持久性XSS,是现在最容易出现的一种xss漏洞。当用户访问一个带有XSS代码的URL的请求时,服务器端接收数据后处理,然后把带有XSS代码的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,最终造成XSS漏洞,这个过程就像一次反射,故称为反射型xxs。
前端安全是什么?什么是XSS攻击和CSRF 跨站请求伪造?怎么预防?
03-25
XSS攻击(Cross-Site Scripting)是指攻击者注入有害代码(如JavaScript脚本)到受害者访问的网页中,当受害者访问该网页时,有害代码会被执行,从而可以窃取用户的信息,如cookie等。CSRF(Cross-site request ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值