简述 XSS 和 CSRF

最新推荐文章于 2024-08-07 00:00:21 发布
最新推荐文章于 2024-08-07 00:00:21 发布
阅读量209 收藏
点赞数
分类专栏: web安全 文章标签: csrf xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44718825/article/details/105403743
版权

XSS 中文名: 跨站脚本攻击

在客户端插入一段获取用户 cookie 的 js 代码, 拿到用户 cookie 之后就能做相应的操作!

防御方法
HttpOnly 防止劫取 Cookie
用户的输入检查
服务端的输出检查

CSRF 中文名: 跨站请求伪造

攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发送请求。如果用户是登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑。

防御方法
使用验证码来验证,确定是用户真人在请求
验证 http 头中 referer
添加 token 验证

写个自己复习用的

前端菜鸡小宇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XSSCSRF攻击
前端阿玉博客
02-11 2125
XSS攻击:跨站脚本攻击,是一种代码注入攻击。攻击者把可执行的恶意脚本注入搭配页面中,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。 解决方案:1. 对需要插入到 HTML 中的代码做好充分的转义;2.使用 CSP,建立一个白名单,告诉浏览器哪些外部资源可以加载和执行,从而防止恶意代码的注入攻击 CSRF攻击:跨站请求伪造攻击,攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求,如果用户在被攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕..
CSRFXSS
Frequent的博客
09-02 144
CSRF CSRF (Cross Site Request Forgery),中文名:跨站请求伪造 攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。对于 GET 形式的接口地址可轻易被攻击,对于 POST 形式的接口地址也不是百分百安全,攻击者可诱导用户进入带 Form 表单可用POST方式提交参数的页面。 如何防范 客户端防范:对于数据库的修改请求,全部使用POST提交,禁止使用GET请求
详解XSSCSRF
sanlyshi's front-end road
10-28 1748
https://www.cnblogs.com/zhouyyBlog/p/14505961.html
简述XSSCSRF的概念和区别
热门推荐
weixin_39327883的博客
04-25 1万+
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的...
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 1857
关于XSS(跨站脚本攻击)和CSRF(跨站请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS跨站脚本攻击和csrf跨站请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dos和d
XSSCSRF 与 SQL注入
qq_40821997的博客
06-05 424
跨站请求伪造(Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。flask 模仿csrf攻击 与 保护:https://www.cnblogs.com/love2000/p/13678360.html(1)场景一(2)场景二跨站请求可以用什么方式:CSRF常见的攻击类型: (1)GET类型的CSRF(2)
XSSCSRF,SSRF简述
摘星怪sec的blog
04-27 786
http是一种无状态的协议,所以客户端每次发出请求时,下一次请求无法得知上一次请求所包含的状态数据,也就是说影响我们浏览资源的交互性体验变差。比如我们登录后台管理页面,当我们已经在登录状态下,每次在更换功能点就不用在每次都要进行登录。从而大大提升我们使用体验1、cookie数据存放在客户的浏览器上,session数据放在服务器上。2、cookie不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗 考虑到安全应当使用session。3、session会在一定时间内保存在服务器上。
XSS攻击和CSRF攻击的定义及区别
cdx1170776994的博客
03-29 648
CSRF 1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的时候,请求网站A的api接口时,会提示你登.
详解XSSCSRF简述及预防措施
10-17
主要介绍了XSSCSRF简述及预防措施,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Django CSRF认证的几种解决方案
09-17
### Django CSRF认证的几种解决方案 #### 一、CSRF攻击简介与原理 ...以上是Django中几种常用的防范和解决CSRF问题的方法。根据实际的应用场景和安全需求,开发者可以选择合适的方式来加强应用程序的安全性。
AJAX和PHP:构建响应式Web应用程序:第5章:AJAX聊天和JSON
04-08
- **安全考虑**:简述如何保护聊天应用不受攻击,如防止XSSCSRF等安全风险。 这个章节的学习将涵盖Web开发的多个方面,从基础的AJAX和JSON理解,到前后端的交互和实时通信的实现,对提升Web开发技能非常有帮助。
现代 Web 应用程序的体系结构
12-14
10. **安全性**:HTTPS确保数据传输的安全,JWT(JSON Web Tokens)用于认证,OAuth 2.0处理授权,CSRF令牌防止跨站请求伪造,XSS过滤和CSP(Content Security Policy)防止注入攻击。 11. **性能优化**:WebP图像...
modern-software-dev-presentation
03-26
13. **安全**:介绍常见的Web安全问题,如XSSCSRF和SQL注入,以及如何预防它们。 14. **性能优化**:包括代码优化、懒加载、预加载和预渲染等策略,以提高应用程序的加载速度和响应性。 通过"modern-software-...
pikachu 之CSRF(跨站请求伪造)get和post型
LIU6636LIU的博客
07-23 723
pikachu 之CSRF(跨站请求伪造)get和post型
XSS (跨站脚本攻击) 详解
TechEnthusiast的博客
08-07 77
XSS(Cross-Site Scripting)是一种常见的web应用程序漏洞,允许攻击者将恶意脚本注入到其他用户浏览的网页中。当受害者浏览这些被注入恶意脚本的页面时,脚本会在用户的浏览器中执行,可能导致各种安全问题。XSS攻击之所以危险,是因为它能够绕过同源策略(Same-Origin Policy),这是浏览器的一种安全机制,用于限制不同源之间的交互。
09.XSS跨站脚本攻击(超详细!!!)
m0_72760503的博客
08-02 1076
http : // www. oldboyedu.com :80 / news/index.php 协议 子域名 主域名 端口 资源地址当协议、主机(主域名,子域名)、端口中的任意一个不相同时,称为不同域。我们把不同的域之间请求数据的操作,成为跨域操作。
仿羊了个羊/王了个王带后台三消游戏源码
08-10
仿羊了个羊、王了个王带后台三消游戏源码,游戏玩儿法类似于养了个羊,有两种模式,一个是普通版,一个是王者荣耀版。
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习
最新发布
08-10
简历-求职简历-word-文件-简历模版免费分享-应届生-高颜值简历模版-个人简历模版-简约大气-大学生在校生-求职-实习 简历是展示个人经历、技能和能力的重要文档,以下是一个常见的简历格式和内容模板,供您参考: 简历格式: 头部信息:包括姓名、联系方式(电话号码、电子邮件等)、地址等个人基本信息。 求职目标(可选):简短描述您的求职意向和目标。 教育背景:列出您的教育经历,包括学校名称、所学专业、就读时间等。 工作经验:按时间顺序列出您的工作经历,包括公司名称、职位、工作时间、工作职责和成就等。 技能和能力:列出您的专业技能、语言能力、计算机技能等与职位相关的能力。 实习经验/项目经验(可选):如果您有相关实习或项目经验,可以列出相关信息。 获奖和荣誉(可选):列出您在学术、工作或其他领域获得的奖项和荣誉。 自我评价(可选):简要描述您的个人特点、能力和职业目标。 兴趣爱好(可选):列出您的兴趣爱好,展示您的多样性和个人素质。 参考人(可选):如果您有可提供推荐的人员,可以在简历中提供其联系信息。 简历内容模板: 姓名: 联系方式: 地址: 求职目标: (简短描述您的求职意
简述过滤器的基本功能
12-21
8. 安全防护:过滤器可以用于防止恶意请求,例如防止跨站脚本攻击(XSS)或跨站请求伪造(CSRF)。 9. 数据转换:过滤器可以对请求和响应的数据进行转换,例如将请求的JSON数据转换为Java对象或将响应的Java对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值