前端安全之csrf 和 xss

最新推荐文章于 2024-01-03 08:53:38 发布
最新推荐文章于 2024-01-03 08:53:38 发布
阅读量111 收藏
点赞数
分类专栏: 前端安全 文章标签: javascript html 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45422557/article/details/109686897
版权
本文详细介绍了XSS(跨站脚本攻击)和CSRF(跨域请求伪造)的概念,XSS主要通过注入恶意脚本攻击用户,而CSRF则利用受害者的Cookie进行未授权的操作。防范XSS的措施包括内容过滤和移除潜在危险属性,而防止CSRF的方法则涉及Token验证和Referer检查。了解并实施这些防护策略对于网站的安全至关重要。
摘要由CSDN通过智能技术生成

1.csrf和xss的定义

XSS(跨站脚本攻击):恶意攻击者往 Web 页面里插入恶意 Script 代码,当用户浏览该页之时,嵌入其中 Web 里面的 Script 代码会被执行,从而达到恶意攻击用户的目的。

CSRF(跨域请求伪造):CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任,可以在受害者毫不知情的情况下以受害者名义伪造请求发送给受攻击服务器,从而在并未授权的情况下执行在权限保护之下的操作

如何防止csrf 和 xss

xss:
1.对用户输入的内容进行验证和替换。例如:& 替换 为& < 替换为 &lt;> 替换为&gt ;/ 替换为 /等等
2.移除用户输入的和事件相关的属性。如onerror可以自动触发攻击,还有onclick等。移除用户输入的Style节点、Script节点、Iframe节点。(尤其是Script节点,它可是支持跨域的呀,一定要移除)
csrf:
1.Token 验证:客户端提交的表单中带着这个token,如果这个 token 不合法,那么服务器拒绝这个请求。也可把 token 隐藏在 http 的 head头中。
2.Referer 验证:Referer 指的是页面请求来源。意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截。

归梦廊 。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全系列:如何防止XSS攻击?
02-25
在移动互联网时代,前端人员除了传统的XSSCSRF安全问题之外,又时常遭遇网络劫持、非法调用HybridAPI等新型安全问题。当然,浏览器自身也在不断在进化和发展,不断引入CSP、Same-SiteCookies等新技术来增强安全...
前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1575
前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式。常见的浏览器攻击主要包括跨站脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击和CSRF攻击。
XSSCSRF 攻击详解
AzulSystems的博客
03-03 2135
在 Web 安全领域中,XSSCSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击。攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击。
前端常见的Web攻击【XSSCSRF
最新发布
qq_53058639的博客
01-03 1097
通过存在的安全漏洞的web网址用户的浏览器内运行非法的本站点的HTML标签或者JS的一种方式。换句话来说,就是在该页面内运行不是该页面的js或者html代码的一种攻击。
前端安全XSSCSRF攻击
公众号:前端充电宝
08-02 656
目录1. 什么是XSS ?1.1 概念1.2 攻击方式1.3 危害1.4 分类2. 如何防御XSS?2.1 设置HttpOnly2.2 输入检查2.3 输出检查3. 什么是CSRF ?3.1 概念3.2 攻击方式4. 如何防御CSRF?4.1 验证码4.2 验证Referer4.3 cookie设置sameSite4.4 添加token验证 1. 什么是XSS ? 1.1 概念 XSS,即 Cross Site Script,是指跨站脚本攻击,原本缩应该为CSS,但是为了和层叠样式表(Cascading
前端安全】一、CSRF攻击和XSS攻击
weixin_39307273的博客
03-06 1537
1、CSRF CSRF,全称Cross-site request forgery(跨站请求伪造),其原理是利用用户的身份,执行非用户本身意愿的操作(隐式身份验证机制)。 形式:图片URL、超链接、Form提交等,也可以嵌入到第三方论坛、文章中等地方。 危害:攻击者可以盗用用户的身份,以用户的名义进行恶意操作,包括但不限于以用户的名义发送邮件、资金转账、网上等危害用户的操作 原理: ...
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
由于CSRF攻击不易被检测和防范,它被认为比XSS更为危险。 攻击原理如下: 1. 用户登录了受信任的网站A,并产生了相应的Cookie。 2. 用户在未退出网站A的情况下,访问了一个恶意网站B。 3. 恶意网站B构造一个请求,...
web安全前端编码规范1
08-04
- 实施token验证机制,确保请求的有效性和安全性。 五、变量安全使用 1. UI变量在HTML标签中或属性值中使用时,应确保经过适当的转义。 2. 在JavaScript环境中使用UI变量时,需考虑JavaScript的特性,进行相应的...
XSS攻击与CSRF攻击
热门推荐
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
XSSCSRF——Web安全领域常见的两种攻击方式
Concise200的博客
03-28 6297
在Web安全领域,XSSCSRF是最常见的攻击方式。
XSSCSRF两种攻击方式
weixin_43183219的博客
05-11 1566
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击,CSRF攻击的原理、特点以及xssCSRF的区别
xss攻击和csrf攻击的定义及区别
weixin_33841503的博客
04-22 362
1.CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Coo...
python如何攻击网站_python---Django常见的web攻击和防范
weixin_39706367的博客
11-26 1532
1、sql注入攻击及防范2、xss攻击和防范3、csrf攻击和防范一、sql注入攻击和防范1、sql注入的危害:非法读取、篡改、删除数据库中的数据盗用用户的各种敏感信息,获取利益通过修改数据库来修改网页上的内容注入木马2、攻击的方法:项目中,执行数据库中操作不是用orm来编写,用原生的sql语句,例如登录页面:1 from django.shortcuts importrender2 classL...
前端安全XSSCSRF,网络劫持
cxz
05-06 478
XSS(跨站脚本攻击) 存储型 XSS 攻击者将恶意代码提交到目标网站的数据库中,这种攻击常见于带有用户保存数据的网站功能,如论坛发帖、商品评论、用户私信等 反射型 XSS 攻击者构造出特殊的 URL,其中包含恶意代码,这种攻击常见于通过 URL 传递参数的功能,如网站搜索、跳转等。由于需要用户主动打开恶意的 URL 才能生效,攻击者往往会结合多种手段诱导用户点击 DOM 型 XSS DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前
前端XSS攻击和CSRF攻击
weixin_44823731的博客
12-25 521
1.XSS攻击 XSS攻击:(Cross Site Scripting)跨站脚本攻击。在渲染DOM树的过程中执行了不在预期内的js代码,就发生了XSS攻击。 攻击样例:在一些博客网站,发表一篇文章的时候,在文章中加入<script>alert('XSS攻击')</script>这种用script标签包含着的js语句。发表成功之后,当别人访问你的这篇文章的时候,就会自动执行alert('XSS攻击')这段代码。这样就属于xss攻击。更严重的,就在script标签中,获取你的cookie
前端必须懂的计算机网络知识—(XSSCSRF和HTTPS)
weixin_33762321的博客
10-02 281
前端必须懂的计算机网络知识系列文章: DNS服务器和跨域问题 计算机网络的分层模型 IP地址和MAC地址 前端必须懂的计算机网络知识—(跨域、代理、本地存储) 前端必须懂的计算机网络知识—(TCP) 前端必须懂的计算机网络知识—(HTTP) 前端必须懂的计算机网络知识—(XSSCSRF和HTTPS) HTTP为什么不安全 可能被窃听: HTTP 本身不具备加密的功能,HTTP 报文使用...
Web前端安全问题:XSS攻击、CSRF攻击、点击劫持
yinqian_Golang的博客
05-15 5425
文章目录前端有哪些攻击方式?1. XSS攻击XSS 本质原理XSS分类防御 XSS 攻击如何去检测XSS攻击,怎么知道自己的页面是否存在XSS漏洞?2. CSRF典型的CSRF攻击流程:CSRF的特点如何防范CSRF攻击?3. 点击劫持典型点击劫持攻击流程 【面试篇】寒冬求职之你必须要懂的Web安全 前端有哪些攻击方式? XSS攻击、CSRF攻击、点击劫持 1. XSS攻击 XSS(Cross...
前端安全知识(XSSCSRF
野生松
02-12 333
一、XSS(跨站脚本攻击) xss:跨站脚本攻击(Cross Site Scripting)是最常见和基本的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 javascript 代码,从而当用户浏览该网页时,控制用户浏览器。 1、常见的攻击方式 在输入框输入恶意代码(例如评论) 劫持用户的cookie 2、防御方式 httpOnly: 在 cookie 中设置 Http...
前端安全深度解析:XSSCSRF的防范
“淘宝网前端安全须知,涵盖了网络安全、Web前端安全JavaScript安全知识点,重点关注XSSCSRF两种常见的安全威胁。” 网络安全是保障互联网应用的基础,主要关注三个方面:机密性、完整性和来源可靠性。机密性...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值