从前端页面渲染了解xss的三种区别

最新推荐文章于 2024-05-14 18:45:00 发布
最新推荐文章于 2024-05-14 18:45:00 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: Web渗透 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45647970/article/details/115277067
版权

渲染流程

要想理解DOM型的xss首先得先了解前端页面的渲染过程。前端页面接收到服务器返回的html文档后,进行如下的操作。

在这里插入图片描述

三种xss的区别

先谈谈反射型xss与存储型xss。

形成原因:都是因为服务器没有对用户的输入以及自身输出的数据进行检查、过滤。

区别:它们区别是存储型xss会把数据存入数据库当中。而反射型xss是非持久化的。

利用:例如存储型xss容易出现在留言板中,凡是浏览了此留言板都会受到xss攻击,大量用户cookie被窃取。而反射型xss一般容易出现在搜索页面,它是非持久化的,需要欺骗用户自己去点击链接才能触发XSS代码。

修复:服务器对用户的输入以及自身输出的数据进行检查、过滤。

最后再谈谈DOM型的xss。

形成原因
1.服务器没有对用户的输入以及自身输出的数据进行检查、过滤。

2.对js代码中获取服务器返回的数据没有进行编码等。例如innerHTML属性,假如从服务器返回的数据中有xss代码,js代码中又执行了<script>document.body.innerHTML=服务器返回的数据</script>就会造成DOM xss漏洞了。又或者<script>document.write(服务器返回数据)</script>也是一样会造成D

最低0.47元/天 解锁文章
Blaov
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端安全(一)XSS攻击
OriginalMIxss的博客
10-24 1038
1 简述 XSS,跨站脚本攻击(Cross Site Scripting),为避免和CSS缩写同名,缩写为XSS XSS通常是指攻击者利用网页开发的漏洞,植入恶意的代码指令到网页中并使用户加载并执行,恶意的脚本指令大多为JS,但也可以是Java、VBScript、HTML等。恶意的脚本执行后,攻击者可以获得私密的网页内容、会话和cookie等各种内容,以及获得更高的页面操作权限 XSS本质就是恶意的脚本代码和正常的代码混杂在一起,浏览器无法分辨,导致恶意脚本执行 2 XSS分类 2.1 存储型XSS攻击
关于xss三种类型详解
热门推荐
土拨鼠挖洞中的博客
04-12 1万+
一、简介什么是XSS?百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意脚本,实...
前端安全系列(一):如何防止XSS攻击?
qkh1234567的博客
05-14 1641
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全XSS 的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。而由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。
三种XSS
走走停停
10-27 1145
参考链接:http://book.51cto.com/art/200907/138792.htm一、 反射型XSS漏洞如果一个应用程序使用动态页面向用户显示错误消息,就会造成一种常见的XSS漏洞。通常,该页面会使用一个包含消息文本的参数,并在响应中将这个文本返回给用户。对于开发者而言,使用这种机制非常方便,因为它允许他们从应用程序中调用一个定制的错误页面,而不需要对错误页面中的消息分别进行硬编码。例如,下面的URL返回如图12-1所示的错误消息:https://wahh-app.com/error.php?
渗透测试-xss三种类型讲解
lza20001103的博客
08-07 4070
渗透测试-xss三种类型讲解
XSSXSSI区别何在?
weixin_33869377的博客
09-01 192
跨站脚本(XSS)和跨站脚本包含(XSSI)之间的区别是什么?防御方法有什么不同? Michael Cobb:自上世纪90年代,攻击者就已经开始利用XSS漏洞,并且,最主要的网站(例如谷歌、雅虎和Facebook)都在一定程度上受到过XSS漏洞的影响。与大多数应用层攻击(例如SQL注入),基于XSS的攻击会攻击应用的用户,而不是应用或服务器。这些攻击的工...
zlibrary仿真程序:zlibrary前端页面,供学习参考
最新发布
05-31
《zlibrary仿真程序:探索前端页面开发的奥秘》 在信息技术日新月异的今天,前端开发成为了软件工程中的重要一环。本资源聚焦于"zlibrary仿真程序"的前端页面,为学习者提供了宝贵的参考资料。zlibrary,一个广受...
前端页面基本模板
11-01
从提供的"java后台管理模板12个"来看,这些可能是专门为Java后端开发的前端页面模板。Java后端开发者通常会使用Spring Boot或Spring MVC等框架,结合Thymeleaf、FreeMarker或Velocity等模板引擎来渲染动态内容。这些...
Web-安全渗透全套教程XSS跨.zip
05-22
XSS攻击主要分为三种类型:反射型XSS、存储型XSS和DOM型XSS。反射型XSS通常发生在用户点击含有恶意链接的URL时,恶意代码会立即执行。存储型XSS则更危险,因为攻击者可以将恶意脚本永久性地存储在服务器上,然后在...
express+MongoDB搭建幼教资源服务器,使用nunjucks渲染前端和后台管理系统页面.zip
08-03
在本项目中,我们主要利用Express.js框架、MongoDB数据库以及Nunjucks模板引擎来构建一个幼教资源服务器,同时包含前端和后台管理系统的页面。这个项目非常适合计算机科学与技术专业的毕业生作为毕业设计,因为它...
xss-vuln学习通关总结
08-24
4. **不安全的第三方组件**:使用存在漏洞或安全隐患的第三方库或组件,也可能成为XSS攻击的入口。 **XSS的种类** 1. **反射型XSS(非持久型)**:攻击者通过构造特殊的URL,将恶意代码注入其中,当用户点击这个...
(跨脚本攻击)xss简介及三种类型
qq_36760683的博客
05-21 3443
1.简介xss攻击,通常指黑客通过注入"HTML注入",来篡改网页,插入恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。那么什么是xss呢?看看下面的例子~~正常情况下,用户向test提交的数据会显示在页面中,例如:http://127.0.0.1/study/test.php?test=This%20is%20a%20test;http://此时查看页面源代码如图:但是如果提交一...
什么是XSS攻击?分为哪几类?
oldboyedu1的博客
03-10 855
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。网络安全中常见的攻击手段有很多,大致包括这些:DDoS攻击、XEE攻击、XSS攻击、CSRF攻击、SSRF攻击等。XSS主要分为:反射型XSS、存储型XSS、DOM型XSS三种攻击类型,而每种类型的攻击原理都不一样。其中反射型XSS和DOM-based型XSS可以归类为非持久型XSS攻击,存储型XSS归类为持久型XSS攻击。
XSS、SSRF、CSRF、XXE 漏洞的区别
gududeajun的博客
12-11 7129
XSS(跨站脚本攻击) XSS属于客户端攻击,受害者最终是用户。但特别要注意的是网站管理员也属于用户之一,这就意味着XSS可以进行“服务端”攻击,因为管理员要比普通用户的权限大得多,一般管理员都可以对网站进行文件管理,数据管理等操作,而攻击者一般也是靠管理员身份作为“跳板”进行实施攻击。 XSS攻击最终目的是在网页中嵌入客户端恶意脚本代码,最常用的攻击代码是javascript语言,但也会使用其它的脚本语言,例如:ActionScript、VBscript。而如今的互联网客户端脚本基本是基于Javasc
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
ZL_1618的博客
03-13 1899
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
前端安全(一)XSS攻击原理及防范
qq_34416331的博客
12-18 2395
前端是直面用户的窗口,其安全性却是最容易被忽略的一环。本文将介绍: 一、什么是XSS攻击 1.1 定义 1.2 XSS攻击的危害 二、 XSS攻击类型 2.1 反射型攻击 2.2 存储型攻击 2.3 DOM型攻击 2.4 三种攻击类型的区别 三、 如何防范XSS攻击 3.1 设置Cookie HttpOnly 为 true 3.2 纯前端渲染 3.3 使用合适的转义库...
反射型XSS、存储型XSS及DOM型XSS到底有什么区别?????
qq_41734243的博客
05-14 1万+
被攻击者是单一 解析地方不同 存储时间不同 允许点的不同
终于弄懂了dom型xss和反射型xss区别
hackzkaq的博客
02-15 5774
零基础学黑客,搜索公众号:白帽子左一 作者:lryfish 原文地址:https://www.freebuf.com/articles/web/318982.html 前言 xss漏洞的原理其实很简单,类型也分为三类,反射型、储存型和dom型。 但是刚接触xss的时候我根本不理解什么是dom型xss,无法区分反射型和dom型,也很少遇见,现在通过这篇文章可以给新入坑的小白更好的理解xss漏洞,也通过这篇文章巩固一下我对xss的理解. DOM型与反射型对比图 两张简单的图帮助大家对比一下异同 反射型
白帽子(3)- xss反射与dom攻击对比
CPriLuke的博客
09-21 2321
Dom XSS攻击 关于xss攻击的分类可以参考以前的文章:xss分类, 注意:对于DOM XSS类型的攻击与反射性的区别在于:DOM XSS是javascript处理输出, 而反射性xss是后台程序处理。 示例与pyload如下: <script> function test() { var str = document.getElementById("text").value; document.getElementById("t").innerHTM
后端数据渲染前端页面
06-07
将后端数据渲染前端页面通常分为以下几个步骤: 1. 从后端获取数据:可以使用 Ajax 或者 Fetch 等技术从后端获取数据。 2. 将数据嵌入到页面模板中:使用模板引擎(如 Handlebars、EJS、Pug 等)将数据嵌入到页面模板中。 3. 将渲染后的页面返回给前端:将嵌入了数据的页面模板通过响应返回给前端。 4. 前端渲染前端通过解析响应中的 HTML、CSS 和 JavaScript,将页面渲染出来。 需要注意的是,在将数据嵌入到页面模板中时,需要防止 XSS 攻击。可以通过使用模板引擎的转义功能、对用户输入进行过滤等方式来防止 XSS 攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值