csrf,xss是什么?

最新推荐文章于 2024-07-23 18:14:11 发布
最新推荐文章于 2024-07-23 18:14:11 发布
阅读量137 收藏
点赞数
分类专栏: web 文章标签: web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44326033/article/details/106558475
版权

csrf:(Cross-site request forgery)

中文名:跨站请求伪造

原理: 安全网站a生成本地cookie.在不退出a网站的情况下,访问csrf网站

ps('现在最新的浏览器已经解决了这一问题)

常见的防护方法:

  • 生成token(中文名:令牌)验证,用户提交数据中携带token,token不合格就拒绝这个请求
  • referer验证:Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中查看一个request信息.

xss:(Cross Site Scripting)

中文名:跨域脚本攻击

原理:攻击者向有xss漏洞(未对html,js前端语言进行安全检测)的网站输入恶意html代码,当用户访问网站时,执行html代码.

类似于sql注入(sql注入是用户输入sql语句作为输入,从而对数据进行增删改查.),

解决办法:

  • 后端对html,js代码排查
  • 通过正则过滤

解决案例

django中有自带的排查功能

from django.utils.safestring import mark_safe

def view(request):
    ...省略...
    # page_html = "<a href='#'>首页</a>"
    page_html = mark_safe("<a href='#'>首页</a>")
    ret = {"page_html": page_html}
    return render(request, "demo.html", ret)

哦了,介绍完毕,有问题留言.

GYYblog
关注
专栏目录
前端技能树,面试复习第 36 天—— 浏览器原理:如何预防 XSS 攻击与 CSRF 攻击
前端进阶之路 | 中大厂、外企、国企内推 | 面试培训 | 简历修改
07-24 324
XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而**盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。...
CSRFXSS有什么区别
m0_56578216的博客
09-10 655
跨站请求伪造(Cross Site Request Forgery,CSRF)是一种攻击,它强制浏览器客户端用户在当前对其进行身份验证后的Web 应用程序上执行非本意操作的攻击,,而不是盗取数据,因为攻击者无法查看伪造请求的响应。借助于社工的一些帮助,例如,通过电子邮件或聊天发送链接,攻击者可以诱骗用户执行攻击者选择的操作。如果受害者是普通用户,则成功的CSRF 攻击可以强制用户执行更改状的请求,例如转移资金、修改密码等操作。如果受害者是管理账户,CSRF 攻击会危及整个Web 应用程序。
xss,csrf
张大晴的博客
10-13 953
文章转自: csrf介绍: https://www.cnblogs.com/shytong/p/5308667.html http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html https://www.cnblogs.com/cxying93/p/6035031.html xss介绍:https://www.cnblogs...
XSSCSRF、SSRF漏洞原理以及防御方式_xsscsrf、ssrf原理与防御
最新发布
yy1715713348的博客
07-23 858
XSS(Cross Site Scripting):跨域脚本攻击。
XSSCSRF是什么
xushilong0812的博客
11-23 394
XSS XSS:Cross-site scripting(跨站脚本攻击) 攻击者可以利用这种漏洞在网站上注入恶意的客户端代码。指攻击者利用网站程序对用户的输入输出过滤不足,导致恶意代码在页面执行,对受害者造成cookie资料窃取、会话劫持、钓鱼欺骗等危害; 如: 弹 出 恶 意 警 告 框 :<script>alert(“XSS”);</script> 存储型 XSS: 注入型脚本永久存储在目标服务器上。当浏览器请求数据时,脚本从服务器上传回并执行。 反射型 XSS: 当用户点击一
CSRFXSS
hcy48的博客
10-06 546
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html 讲CSRFXSS区别,简单一段文字XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通
实战xsscsrf
yang_zongjun的专栏
05-05 1752
web安全很早就关注过,但是xsscsrf一直都是理论学习,今天有机会实战了下先贴上onenote笔记:XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。 来自 https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%AB%99%E8%AF%B7%E6%B1%82%E4%BC%AA%E9%80%A0 xss(corss-site s
前端安全CSRFXSS该怎么防御?
椰卤工程师的个人博客
11-12 2421
XSS是后端的责任,后端应该在用户提交数据的接口对隐私敏感的数据进行转义。NO,这种说法不对所有插到页面的数据,都要进行过滤转移,当没有敏感字符的时候,就可以直接插到页面上显示了。NO,丝毫没有什么作用XSS攻击是页面被注入了恶意的代码,利用恶意脚本,攻击者可以获取用户的Cookie、SessionID等敏感信息。在HTML中内嵌的文本中,恶意内容通过script标签注入在内联的JS中,拼接的数据突破了原本的限制在标签属性中,恶意内容包含引导,从而突破属性值的限制。
什么是CSRF攻击,如何防范CSRF攻击?
weixin_47450807的博客
03-02 6982
什么是CSRF攻击,如何防范CSRF攻击?
XSSCSRF攻击以及预防手段
南栀的博客
03-12 4900
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
什么是跨站脚本 (XSS) 攻击?
简介
01-04 2034
这一次,教会xss攻击!!!!!!!
xsscsrf(详解)
qq_62046696的博客
06-30 4272
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
CSRFXSS认识
小白菜的博客
07-26 106
CSRF (Cross-site request forgery): 跨站请求伪造 即攻击者盗用了你的身份,以你的名义发送恶意请求 CSRF攻击是源于WEB的隐式身份验证机制!WEB的身份验证机制虽然可以保证一个请求是来自于某个用户的浏览器,但却无法保证该请求是用户批准发送的! 简单阐述CSRF攻击的思想: 1.user 浏览并登陆信任 网站 A 2.网站A 验证通过,在 user 产生A的Cookie 3.user 在没有登出A网站的情况下,访问危险网站B 4.网站B 要求访问 网站A ,发出一个请求(r
CSRF攻击+XSS攻击
will5451的博客
05-17 502
什么是XSS攻击?如何防止XSS攻击? 1.XSS攻击 XSS(Cross-Site Scripting)—跨站脚本攻击,简称XSS,是一种代码注入攻击,攻击者通过在目标网址注入恶意脚本,使之在用户的的浏览器上运行。利用这些恶意脚本,攻击者获取用户敏感信息如Cookie、SessionID等,进而危害数据安全XSS的本质:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。 2. 如何防止? 由于问题的源头是js代码的注入,那么我们便想办法不让js生效 方式1
XSSCSRF
sun_cainiao的博客
03-21 753
介绍两种最常见的针对 web 应用的攻击方式。 XSS (Cross-site scripting) 跨站脚本攻击 攻击者能够利用跨站脚本漏洞来绕过访问控制(access control),比如单源策略(same-origin policy)。 单源策略: 如果一个站点的内容有权限访问浏览器上的某些资源(比如 cookie),那么来自这个站点的所有内容都可以共享这些权限。 跨站点脚...
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2163
Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击。攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击。
XSSCSRF
妍思码匠的博客
08-10 2159
如果登陆了一个网站,不小心又打开另一个恶意网站,如果没有安全策略,则他可以对已登录的网站进行任意的dom操作、伪造接口请求等,因此安全策略是必要的;浏览器的同源策略限制了非同源的域名之间不可以对DOM进行读写操作不可以读取非同源的cookie、indexDB、localStorge等数据与资源。
XSSCSRF定义
2301_77512689的博客
05-04 796
验证码的验证思路是在服务器端生成验证字符串并保存在Session中,然后在客户端使用图片显示这段字符串,当用户输入验证码之后交给服务器处理,如果验证码与Session中的字符串相匹配,就代表验证码正确,可以发起请求,反之亦然。反射型XSS也被称为非持久性XSS,是现在最容易出现的一种xss漏洞。当用户访问一个带有XSS代码的URL的请求时,服务器端接收数据后处理,然后把带有XSS代码的数据发送到浏览器,浏览器解析这段带有XSS代码的数据后,最终造成XSS漏洞,这个过程就像一次反射,故称为反射型xxs。
渗透测试-一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 2730
一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御一、相同点与不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点与不同点 相同点 XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
前端安全是什么?什么是XSS攻击和CSRF 跨站请求伪造?怎么预防?
03-25
前端安全是指对前端网页应用程序的安全性进行保护和维护,以防止黑客通过漏洞攻击网站并盗取用户信息。 XSS攻击(Cross-Site Scripting)是指攻击者注入有害代码(如JavaScript脚本)到受害者访问的网页中,当受害者访问该网页时,有害代码会被执行,从而可以窃取用户的信息,如cookie等。CSRF(Cross-site request forgery)跨站请求伪造是指攻击者创建并发送伪造的请求给受害者,诱使受害者在未经意识的情况下执行,进而达到攻击的目的。 预防XSS攻击可以采取以下措施: 1.对用户输入的数据进行过滤,对注入有害代码的内容进行过滤或替换。 2.使用HTTP-only cookie,防止cookie被脚本访问。 3.使用CSP(Content Security Policy)设置,限制浏览器执行某些资源的来源,使攻击者无法注入有害代码。 4.避免使用eval()、setTimeout()和setInterval()等方法。 预防CSRF攻击可以采取以下措施: 1.使用随机令牌防止伪造请求。 2.限制http referer的来源,防止跨域伪造请求。 3.使用验证码或者二次确认机制确认请求是否合法。 4.为每个用户分配一个唯一的会话ID,以便识别和验证合法请求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值