常见面试题:XSS和CSRF原理及防范方法

最新推荐文章于 2024-07-30 16:49:30 发布
最新推荐文章于 2024-07-30 16:49:30 发布
阅读量575 收藏 5
点赞数 3
文章标签: xss csrf 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46191445/article/details/138318856
版权

XSS和CSRF原理及防范方法

XSS 跨站脚本攻击

浏览器向服务器请求的时候被注入脚本攻击

类型恶意代码有效的位置插入点
反射型URLHTML
存储型服务端数据库HTML
基于DOM服务端数据库/客户端存储/URL前端javascript

  1. 反射型XSS(非持久性跨站脚本攻击)

    攻击方法:

    1. 攻击者把带有恶意脚本代码参数的URL地址发送给用户

         2. 用户点击此链接
	   3. 服务器端获取请求参数并直接使用,服务器返回结果页面

  2. 存储型XSS(持久性跨站脚本攻击)

    具有攻击性的脚本被保存到了服务器端数据库,并且可以被普通用户完整的从服务中取得并执行,从而获得了在网络上传播的能力。

  3. DOM型

    这种攻击类型不需要服务器端支持,是由于DOM结构修改导致的。

    攻击方法:

    1. 用户打开有恶意的链接
    2. 浏览器在DOM解析的时候直接使用恶意数据
    3. 用户中招
    4. 常见的触发场景就是在修改innerHTML、outerHTML、document.write时

防范手段

  1. 输入过滤
  2. 输出过滤
  3. 加httponly 请求头,锁死cookie

CSRF跨站请求伪造

攻击方法:黑客通过小网站B,诱使用户去访问已经登录了的网站A,进行一些违背用户意愿的请求,造成用户损失

防范手段

  1. 服务器验证 http请求的refer头信息
  2. 请求的时候 传token
  3. 加验证码
挨踢女孩y
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
理解XSSCSRF攻击及防范措施
Delicia_Lani的博客
07-22 684
一,XSS理解: 比如在一个论坛中,发帖写一段拥有跨站请求功能的JavaScript脚本注入到一条帖子里,该JS代码有请求服务器的操作,然后有用户访问了这个帖子,这就算是中了XSS攻击了。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。有很多种方式进行 XSS 攻击,但它们的共同点为:将一些隐私数据像 cookie、session 发送...
其他互联网名企面试笔试题.rar
10-18
- SQL注入、XSSCSRF常见的Web安全问题及其防范措施。 - OAuth、JWT等身份验证机制。 8. 系统设计与架构: - 高并发处理:负载均衡、缓存策略、分布式锁等解决方案。 - 微服务架构:服务发现、API Gateway、...
前端网络安全面试题CSRFXSS
碳基蒟蒻Serio的博客
04-22 603
跨站请求伪造是一种攻击手段,攻击者通过恶意构造一个链接或表单,诱使用户在已登录的目标网站上执行非本意的操作。当用户点击或提交这个恶意内容时,浏览器会自动带上用户的认证凭据(如session cookie),服务器误以为这是用户自己发起的合法请求,从而执行了攻击者设计的操作。例如,攻击者可能通过CSRF获取用户的转账权限,在用户不知情的情况下转走账户资金。防范措施使用CSRF令牌:服务器端为每个敏感操作生成一个一次性使用的随机令牌,并将其附加到表单中或作为Cookie的一部分发送给客户端。
网安面试问题 2:CSRFXSS
Forget_liu的博客
04-15 243
面试中的安全问题,明确来说,就两个方面:CSRF:基本概念、攻击方式、防御措施XSS:基本概念、攻击方式、防御措施这两个问题,一般不会问太难。有人问:SQL注入算吗?答案:这个其实跟前端的关系不是很大。
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
qq_17335549的博客
12-29 2156
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。
程序员面试题之MyISAM和 InnoDB 的基本区别?索引结构如何实现?什么是 CSRF 攻击 ?XSS 攻击?如何防范?isset() 和 empty() 区别对于大流量的网站,您采用什么样的方法
凯歌技术控团队
09-25 536
2020年PHP面试题附答案(实战经验)
彻底理解前端安全面试题(5)—— 总结篇,所有网络攻击面试题目总结,(已完结)
qq_17335549的博客
01-05 1213
XSS 跨站脚本攻击,请参考这篇文章。CSRF 跨站请求伪造,请参考这篇文章。MITM 中间人攻击,请参考这篇文章。DOS(denial of service)是拒绝服务攻击,是大量发送合理请求、恶意注入流量等方式,占用服务器的资源,其目标是通过超过目标系统、服务或网络的处理能力,使其无法提供正常的服务或响应用户请求。DOS 攻击通常由单一的来源发起。
面试-PHP高频面试题整理-面试题合集.zip
06-23
这份"面试-PHP高频面试题整理-面试题合集.zip"文件显然包含了针对PHP开发者的常见面试问题和解答,旨在帮助求职者准备面试,提高成功几率。以下是这些面试题可能涵盖的一些核心知识点,以及对这些知识点的详细解释:...
最新各大厂前端面试题以及答案.rar
04-30
10. **前端安全**:XSSCSRF攻击防范,HTTPS的作用,以及如何避免常见的安全问题。 11. **工程化与构建工具**:Webpack、Gulp、Grunt的使用,理解打包过程和配置项。 12. **单元测试与TDD**:Jest、Mocha等测试...
js 面试24道经典面试题总结
03-26
- XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的防范措施。 - 如何防止SQL注入? 以上这些知识点涵盖了JavaScript的基础到高级应用,是面试中常见的问题。理解并熟练掌握这些内容,将有助于你在JavaScript面试中...
2021年最新前端面试题.rar
04-11
在准备2021年的前端面试时,了解和掌握最新的技术趋势及常见面试问题是至关重要的。这份名为"2021年最新前端面试题.rar"的压缩包文件,旨在为应聘者提供详尽的面试指南,帮助他们克服面试中的难题。资源涵盖了前端...
记一次因敏感信息泄露而导致的越权+存储型XSS
2301_80127209的博客
07-23 608
可能各位师傅会有苦于不知道如何寻找测试目标的烦恼,这里我惯用的就是寻找可进站的思路。这个思路分为两种,一是弱口令进站测试,二是可注册进站测试。依照这个思路,我依旧是用鹰图进行了一波资产的搜集。
反射型与dom型的xss的区别【源码分析】
2301_80064376的博客
07-26 2079
攻击点反射型 XSS:恶意代码通过 HTTP 请求发送到服务器,并在服务器响应中反射回客户端。DOM 型 XSS:恶意代码直接在客户端(浏览器)中通过 JavaScript 动态生成和执行。执行位置反射型 XSS:服务器响应时执行。DOM 型 XSS:客户端 JavaScript 处理时执行。防御重点反射型 XSS:服务器端的输入验证和输出编码。DOM 型 XSS:客户端 JavaScript 的输入验证和安全的 DOM 操作。
pikachu 之CSRF(跨站请求伪造)get和post型
LIU6636LIU的博客
07-23 658
pikachu 之CSRF(跨站请求伪造)get和post型
【分享】前端程序员-技术网站推荐
一位前行者的博客
07-30 410
对于前端开发人员来说,以下是一些推荐的技术网站,这些网站提供了丰富的资源和知识,可以帮助你提升前端开发技能:收集一些 、、 的网站 vite 官方中文文档 element-plus 官方中文文档 pinia 官方中文文档 vue-router 官方中文文档 Tailwind CSS 官方文档 vitest 官方中文文档 es6 中文文档 axios 官方中文文档 vxetable 官方中文文档 lodash 中文文档 echarts 官方中文文档 animat
js、ts、argular、nodejs学习心得
最新发布
07-30 193
工作中需要前端argular开发桌面程序,后端用nodejs开发服务器,商用软件架构。
苍穹外卖浏览器前端界面修改
程序员象漂亮的博客
07-25 271
客户原始方案是期望做一个Spring Boot + Vue的饿了么系统,但时间上太仓促,所以建议选择开源的苍穹外码目作为作业提交。客户接受了建议的方案后,期望对前端页面提出了一些个性化的定制修改。
前端开发防御指南:XSSCSRF防范详解
参考资源包括Wikipedia、GraceCode等权威站点,以及专门讨论XSSCSRF防护的网站,有助于深入学习和实践前端安全防范前端安全不仅是技术问题,更是开发者必须重视的策略和责任。了解并遵循这些原则,能够有效地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值