Web安全小总结:XSS,CSRF及其防御

最新推荐文章于 2023-04-26 11:30:54 发布
最新推荐文章于 2023-04-26 11:30:54 发布
阅读量390 收藏
点赞数
文章标签: web 安全漏洞 xss
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54787877/article/details/113896808
版权

其实, 前端的安全并没有很多, 不过知道了, 起码后端兄弟不会那么累了。

本文主要讨论以下几种攻击方式 :

XSS方式
CSRF方式
点击劫持
希望大家在阅读完文本之后, 能够很好地回答以下的几个问题:

前端的攻击方式有哪些?
什么是XSS方式? XSS攻击有几种类型?如何防范XSS攻击?
什么是CSRF攻击?如何防范CSRF攻击?
如何检测网站是否安全?

  1. XSS方式
    XSS(Cross-Site-Scripting),跨站脚本攻击是一种代码注入攻击。攻击者在目标网站上注入恶意代码,当被攻击者登录网站时就会执行这些恶意代码, 这些脚本可以读取 cookie ,session tokens , 或者其他敏感的网站消息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等。

XSS的本质:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本被执行。由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,利用这些信息冒充用户向网站发起攻击
XSS的分类:

存储型
反射型
DOM 型
1.1 反射型XSS
当用户点击一个恶意链接, 或者提交一个表单, 或者进入一个恶意网站时, 注入脚本进入被攻击者的网站。Web 服务器将注入脚本,比如一个错误信息, 搜索结果等 , 未进行过滤直接返回到用户的浏览器上。

反射型XSS的攻击步骤:

1.攻击者构造出特殊的URL, 其中包含恶意代码
2.用户打开带有恶意代码的URL时, 网站服务端将恶意代码从 URL中取出, 拼接在 HTML中返回给浏览器
3.用户浏览器接收到响应后解析执行, 混在其中的恶意代码也被执行。
4.恶意代码窃取用户数据并发送到攻击者的网站, 或者冒充用户的行为, 调用目标网站接口执行攻击者指定的操作。
反射型 XSS 漏洞常见于 URL 传递参数的功能 , 如网站搜索 , 跳转等。由于需要用户主动打开恶意的 URL 才能生效 , 攻击者往往会结合多种手段诱导用户点击

POST 的内容也可以触发反射型 XSS , 只不过其触发条件比较苛刻 (需要构造表单提交页面 , 并引导用户点击),所以非常少见。

话不多说 , 我们来举个例子

//前端代码
// index.html
// 由于必须诱导用户点击,所以可能是这样的

//这是一张很好看的图片

// 后端代码
// server.js
const express = require(‘express’);
const app = express();
app.use(express.static(path.join(__dirname)))
app.get(’/welcome’,function(req, res) {
// 把恶意代码当做字符串, 传输回浏览器
res.send(${req.query.type});
res.end();
})

app.listen(3000, ()=> {
console.log(‘server is running at port 4000’)
});
复制代码
如果不希望被前端拿到 cookie, 后端可以设置 httpOnly (不过这个不是 XSS 的解决方案 , 只能降低受损范围)
如何防范反射型 XSS攻击?
对字符串进行编码

对url的查询参数进行转义后再输出到页面

app.get(’/welcome’,function(req,res) {
//对查询参数进行编码,避免反射型 XSS攻击
res.send(${encodeURIComponent(req.query.type)});
})
复制代码
总结:简单来说,前端向后端发送GET请求数据,后端返回结果之前,必须先对url查询参数进行编码再输出到页面
1.2 DOM型XSS
DOM型 XSS 攻击 , 实际上就是前端 javaScript 代码不够严谨 , 把不可信的内容插入到了页面 。在使用 .innerHTML , .outerHTML , appendChild , document.write()等 API 时要特别小心 , 不要把不可信的数据作为为 HTML 插入到页面上 , 尽量使用 .innerText , .textContent , setAttribute()等。

DOM型XSS 的攻击步骤:
1.攻击者构造出特殊数据 , 其中包含恶意代码
2.用户浏览器执行恶意代码
恶意代码窃取用户数据并发送到攻击者的网站 , 或者冒充用户的行为 , 调用目标网站接口执行攻击者指定的操作。
如何防范 DOM型XSS攻击
防范 DOM 型 XSS攻击的核心就是对输入内容进行转义 (DOM 中的内联事件监听器和链接跳转都能把字符串作为代码运行, 需要对其内容进行检查)

对于 url 链接(例如图片的src属性), 那么直接使用 encodeURICom

最低0.47元/天 解锁文章
大白Tang
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
token为什么能防止csrf_注意!!CSRFXSS攻防知识点来了
weixin_39740737的博客
11-29 4671
作者:侯医生链接:https:segmentfault.com/a/1190000006672214导读随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。作为前端工程师的我们也逃不开这个问题。所以今天,就和大家一起聊一聊WEB前端的安全那些事儿。这里不去说那些后端的攻击(SQL注入、DDOS攻击等),我们就聊一聊前端工程师们需要...
漏洞科普:对于XSSCSRF你究竟了解多少
cr4zy的专栏
07-28 370
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。     黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶
web安全xsscsrf
差不少的博客
07-13 1002
web安全防御xss : 把一些数据直接拿来用,比如url,input中输入了一些东西,请求的资源等等一些用户能自定义的一些东西 比如:在input中输入一些标签(script标签),没进行过滤或转义(转义是把它们转成实体字符) 实体字符: < 小于符号的实体字符,在页面中替换成<。 https://blog.csdn.net/weixin_49007365/article/details/118583523 注:最新 消毒api html Sanitizer API 10月18号,
浅谈Web前端安全策略xsscsrf,及又该如何预防?
moandaylab
05-28 1599
Web前端安全策略xsscsrf的攻击和防御一、XSS跨站请求攻击1、什么是XSS2、场景模拟3、XSS的攻击类型4、如何防御XSS二、XSRF跨站请求伪造1、什么是csrf2、场景模拟(1)场景一(2)场景二3、CSRF的特点4、CSRF攻击方式5、CSRF常见的攻击类型6、如何防御csrf三、CSRFXSS 区别四、结束语 随着前端技术的不断革新,前端早已不再是简简单单的做页面了。现在的前端网站上会涉及到大量用户的数据和隐私,那这些用户数据安全吗?答案并不是肯定的。因此,这个时候前端安全就显得尤为
网页安全XSS攻击和CSRF攻击
布里渊区
07-08 189
1、XSS攻击 通过各种手段,往网页上插入一些非法脚本,获取用户信息。 比如 通过form表单,输入 <script> let cookie = document.cookie post(url,cookie) </script> 解决方法:服务端对于输入内容的特殊字符要进行转移 ...
Web应用安全CSRF进阶.pptx
06-18
Web应用安全领域中,CSRF...总的来说,理解和防范CSRF攻击是Web应用安全的关键环节,特别是当它与XSS结合,或者演化为蠕虫形式时,危害更大。开发者和用户都应提高警惕,采取有效的安全措施,避免数据和隐私受到侵犯。
chengzhong1#Web#07-安全问题:CSRFXSS1
07-25
前言面试中的安全问题,明确来说,就两个方面:CSRF:基本概念、攻击方式、防御措施XSS:基本概念、攻击方式、防御措施这两个问题,一般不会问太难。有人问:SQL
CSRF攻击与防御Web安全的第一防线
01-27
CSRF(跨站请求伪造)攻击...总之,CSRF攻击是一种严重的安全威胁,开发者应当采取多种防御措施,如Token验证、Referer检查等,确保Web应用程序的安全性。同时,定期进行安全审计和漏洞扫描是预防CSRF攻击的关键步骤。
Web应用安全CSRF攻击手段与影响.pptx
06-18
总的来说,理解并防范CSRF攻击对于保障Web应用的安全至关重要。开发人员应遵循最佳实践,对所有可能改变用户状态的操作进行严格验证,同时提高用户的安全意识,避免点击不明链接。只有这样,才能有效地降低CSRF攻击...
Web应用安全:浏览器的如何防御攻击.pptx
06-20
浏览器的如何防御攻击 常见的浏览器攻击方式 常见的浏览器攻击方式分为两种: 1、CSRF(跨站请求伪造) 2、XSS(跨站脚本分析) CSRF(跨站请求伪造) CSRF 英文全称是 Cross-site request forgery,是指黑客引诱...
web安全CSRFXSS详解
qq_42586895的博客
02-22 1922
CSRFXSS CSRF CSRF (Cross Site Request Forgery)攻击,中文名:跨站请求伪造。 攻击原理:攻击者构造网站后台某个功能接口的请求地址,诱导用户去点击或者用特殊方法让该请求地址自动加载。用户在登录状态下这个请求被服务端接收后会被误以为是用户合法的操作。对于 GET 形式的接口地址可轻易被攻击,对于 POST 形式的接口地址也不是百分百安全,攻击者可诱导用户...
XSSCSRF——Web安全领域常见的两种攻击方式
Concise200的博客
03-28 6184
Web安全领域,XSSCSRF是最常见的攻击方式。
XSSCSRF 原理和基本防御方式
接着奏乐接着舞的博客
08-10 1982
面试向:XSSCSRF 原理和基本防御方式
CSRF
打代码的小女孩
01-13 629
CSRF概念:跨站点请求伪造(Cross—Site Request Forgery) 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web...
使用chatgpt探索XSS问题
最新发布
jimmyleeee的专栏
04-26 557
通过本次提问和获得答案的记过来看,通过Chatgpt可以大概了解一下XSS的原理和预防方法,但是,要真正动手写代码彻底解决XSS问题,还需要再进一步学习掌握才可。
一些经典的XSS跨站代码整理
主题模板站的博客
01-31 584
base64,>>有趣的isindex 興味深いhttp://jsbin.com/inekab for Opera only。IE valid syntax: 我,啊=1,b=[我,啊],alert(我,啊)
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9108
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
【超详细】前端手写原理之实现JSON.parse
m0_56200434的博客
10-26 924
JSON.parse(text[, reviver]) 用来解析JSON字符串,构造由字符串描述的JavaScript值或对象。提供可选的reviver函数用以在返回之前对所得到的对象执行变换(操作) 第一种:直接调用eval function jsonParse(opt) { return eval('(' + opt + ')'); } jsonParse(jsonStringify({x : 5})) // Object { x: 5} jsonParse(jsonStrin...
Json XSS (只是一个小窥)
byteway的专栏
04-16 8518
大家都清楚json 类似于字典的样子吧,这里就不再赘述了,XSS直接上代码: json = new JSONObject(); json.put("code", 200); json.put("info", "{'replace':function(){alert(/xss/);}}"); json.put("msg", "success"); System.out.println(json
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值