Web安全小总结:XSS,CSRF及其防御

最新推荐文章于 2024-04-18 17:27:02 发布
最新推荐文章于 2024-04-18 17:27:02 发布
阅读量396 收藏
点赞数
文章标签: web 安全漏洞 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54787877/article/details/113896808
版权

其实, 前端的安全并没有很多, 不过知道了, 起码后端兄弟不会那么累了。

本文主要讨论以下几种攻击方式 :

XSS方式
CSRF方式
点击劫持
希望大家在阅读完文本之后, 能够很好地回答以下的几个问题:

前端的攻击方式有哪些?
什么是XSS方式? XSS攻击有几种类型?如何防范XSS攻击?
什么是CSRF攻击?如何防范CSRF攻击?
如何检测网站是否安全?

  1. XSS方式
    XSS(Cross-Site-Scripting),跨站脚本攻击是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当被攻击者登录网站时就会执行这些恶意代码, 这些脚本可以读取 cookie ,session tokens , 或者其他敏感的网站消息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等。

XSS的本质:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,利用这些信息冒充用户向网站发起攻击
XSS的分类:

存储型
反射型
DOM 型
1.1 反射型XSS
当用户点击一个恶意链接, 或者提交一个表单, 或者进入一个恶意网站时, 注入脚本进入被攻击者的网站。Web 服务器将注入脚本,比如一个错误信息, 搜索结果等 , 未进行过滤直接返回到用户的浏览器上。

反射型XSS的攻击步骤:

1.攻击者构造出特殊的URL, 其中包含恶意代码
2.用户打开带有恶意代码的URL时, 网站服务端将恶意代码从 URL中取出, 拼接在 HTML中返回给浏览器
3.用户浏览器接收到响应后解析执行, 混在其中的恶意代码也被执行。
4.恶意代码窃取用户数据并发送到攻击者的网站, 或者冒充用户的行为, 调用目标网站接口执行攻击者指定的操作。
反射型 XSS 漏洞常见于 URL 传递参数的功能 , 如网站搜索 , 跳转等。由于需要用户主动打开恶意的 URL 才能生效 , 攻击者往往会结合多种手段诱导用户点击

POST 的内容也可以触发反射型 XSS , 只不过其触发条件比较苛刻 (需要构造表单提交页面 , 并引导用户点击),所以非常少见。

话不多说 , 我们来举个例子

//前端代码
// index.html
// 由于必须诱导用户点击,所以可能是这样的

//这是一张很好看的图片

// 后端代码
// server.js
const express = require(‘express’);
const app = express();
app.use(express.static(path.join(__dirname)))
app.get(’/welcome’,function(req, res) {
// 把恶意代码当做字符串, 传输回浏览器
res.send(${req.query.type});
res.end();
})

app.listen(3000, ()=> {
console.log(‘server is running at port 4000’)
});
复制代码
如果不希望被前端拿到 cookie, 后端可以设置 httpOnly (不过这个不是 XSS 的解决方案 , 只能降低受损范围)
如何防范反射型 XSS攻击?
对字符串进行编码

对url的查询参数进行转义后再输出到页面

app.get(’/welcome’,function(req,res) {
//对查询参数进行编码,避免反射型 XSS攻击
res.send(${encodeURIComponent(req.query.type)});
})
复制代码
总结:简单来说,前端向后端发送GET请求数据,后端返回结果之前,必须先对url查询参数进行编码再输出到页面
1.2 DOM型XSS
DOM型 XSS 攻击 , 实际上就是前端 javaScript 代码不够严谨 , 把不可信的内容插入到了页面 。在使用 .innerHTML , .outerHTML , appendChild , document.write()等 API 时要特别小心 , 不要把不可信的数据作为为 HTML 插入到页面上 , 尽量使用 .innerText , .textContent , setAttribute()等。

DOM型XSS 的攻击步骤:
1.攻击者构造出特殊数据 , 其中包含恶意代码
2.用户浏览器执行恶意代码
恶意代码窃取用户数据并发送到攻击者的网站 , 或者冒充用户的行为 , 调用目标网站接口执行攻击者指定的操作。
如何防范 DOM型XSS攻击
防范 DOM 型 XSS攻击的核心就是对输入内容进行转义 (DOM 中的内联事件监听器和链接跳转都能把字符串作为代码运行, 需要对其内容进行检查)

对于 url 链接(例如图片的src属性), 那么直接使用 encodeURICom

最低0.47元/天 解锁文章
大白Tang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
token为什么能防止csrf_注意!!CSRFXSS攻防知识点来了
weixin_39740737的博客
11-29 4694
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
漏洞科普:对于XSSCSRF你究竟了解多少
cr4zy的专栏
07-28 375
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。     黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶
web安全xsscsrf
差不少的博客
07-13 1006
web安全防御xss : 把一些数据直接拿来用,比如url,input中输入了一些东西,请求的资源等等一些用户能自定义的一些东西 比如:在input中输入一些标签(script标签),没进行过滤或转义(转义是把它们转成实体字符) 实体字符: < 小于符号的实体字符,在页面中替换成<。 https://blog.csdn.net/weixin_49007365/article/details/118583523 注:最新 消毒api html Sanitizer API 10月18号,
浅谈Web前端安全策略xsscsrf,及又该如何预防?
moandaylab
05-28 1613
Web前端安全策略xsscsrf的攻击和防御一、XSS跨站请求攻击1、什么是XSS2、场景模拟3、XSS的攻击类型4、如何防御XSS二、XSRF跨站请求伪造1、什么是csrf2、场景模拟(1)场景一(2)场景二3、CSRF的特点4、CSRF攻击方式5、CSRF常见的攻击类型6、如何防御csrf三、CSRFXSS 区别四、结束语 随着前端技术的不断革新,前端早已不再是简简单单的做页面了。现在的前端网站上会涉及到大量用户的数据和隐私,那这些用户数据安全吗?答案并不是肯定的。因此,这个时候前端安全就显得尤为
网页安全XSS攻击和CSRF攻击
布里渊区
07-08 190
1、XSS攻击 通过各种手段,往网页上插入一些非法脚本,获取用户信息。 比如 通过form表单,输入 <script> let cookie = document.cookie post(url,cookie) </script> 解决方法:服务端对于输入内容的特殊字符要进行转移 ...
Web安全XSSCSRF以及如何防范,2024年阿里网络安全面试题及答案
最新发布
2401_83974064的博客
04-18 734
CSRF, 即Cross-site request forgery)中译是跨站请求伪造;CSRF 顾名思义,是伪造请求,冒充用户在站内的正常操作。我们知道,绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器端)发起用户所不知道的请求。
Web应用安全评估:XSSCSRF攻击分析
XSS(跨站脚本攻击)是一种常见的Web应用安全漏洞,攻击者通过在Web页面中注入恶意脚本代码,使得用户在浏览页面时执行了这些恶意脚本。XSS攻击可以导致用户的个人信息被盗取、会话劫持、恶意重定向等安全问题,给...
chengzhong1#Web#07-安全问题:CSRFXSS1
07-25
前言面试中的安全问题,明确来说,就两个方面:CSRF:基本概念、攻击方式、防御措施XSS:基本概念、攻击方式、防御措施这两个问题,一般不会问太难。有人问:SQL
Web前端安全问题:XSS攻击、CSRF攻击、点击劫持
yinqian_Golang的博客
05-15 5424
文章目录前端有哪些攻击方式?1. XSS攻击XSS 本质原理XSS分类防御 XSS 攻击如何去检测XSS攻击,怎么知道自己的页面是否存在XSS漏洞?2. CSRF典型的CSRF攻击流程:CSRF的特点如何防范CSRF攻击?3. 点击劫持典型点击劫持攻击流程 【面试篇】寒冬求职之你必须要懂的Web安全 前端有哪些攻击方式? XSS攻击、CSRF攻击、点击劫持 1. XSS攻击 XSS(Cross...
web安全CSRFXSS详解
qq_42586895的博客
02-22 1937
CSRFXSS CSRF CSRF (Cross Site Request Forgery)攻击,中文名:跨站请求伪造。 攻击原理:攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。对于 GET 形式的接口地址可轻易被攻击,对于 POST 形式的接口地址也不是百分百安全,攻击者可诱导用户...
XSSCSRF——Web安全领域常见的两种攻击方式
Concise200的博客
03-28 6284
Web安全领域,XSSCSRF是最常见的攻击方式。
XSSCSRF 原理和基本防御方式
接着奏乐接着舞的博客
08-10 1998
面试向:XSSCSRF 原理和基本防御方式
CSRF
打代码的小女孩
01-13 640
CSRF概念:跨站点请求伪造(Cross—Site Request Forgery) 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web...
使用chatgpt探索XSS问题
jimmyleeee的专栏
04-26 561
通过本次提问和获得答案的记过来看,通过Chatgpt可以大概了解一下XSS的原理和预防方法,但是,要真正动手写代码彻底解决XSS问题,还需要再进一步学习掌握才可。
一些经典的XSS跨站代码整理
主题模板站的博客
01-31 590
base64,>>有趣的isindex 興味深いhttp://jsbin.com/inekab for Opera only。IE valid syntax: 我,啊=1,b=[我,啊],alert(我,啊)
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9121
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
【超详细】前端手写原理之实现JSON.parse
m0_56200434的博客
10-26 925
JSON.parse(text[, reviver]) 用来解析JSON字符串,构造由字符串描述的JavaScript值或对象。提供可选的reviver函数用以在返回之前对所得到的对象执行变换(操作) 第一种:直接调用eval function jsonParse(opt) { return eval('(' + opt + ')'); } jsonParse(jsonStringify({x : 5})) // Object { x: 5} jsonParse(jsonStrin...
Json XSS (只是一个小窥)
byteway的专栏
04-16 8553
大家都清楚json 类似于字典的样子吧,这里就不再赘述了,XSS直接上代码: json = new JSONObject(); json.put("code", 200); json.put("info", "{'replace':function(){alert(/xss/);}}"); json.put("msg", "success"); System.out.println(json
Web前端安全深度解析:XSSCSRF与界面劫持
Web前端黑客技术是一门独特且重要的领域,它涉及到Web应用的安全性,特别是对于防止跨站脚本(XSS)、跨站请求伪造(CSRF)以及界面操作劫持等攻击。这些攻击类型威胁着用户的隐私和数据安全。 1. **跨站脚本(XSS)**:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值