web前端安全之XSS

已于 2023-02-01 16:13:37 修改
阅读量181 收藏
点赞数
分类专栏: 日记 web前端 文章标签: 前端 安全 xss
于 2023-01-28 17:19:04 首次发布
原文链接:https://segmentfault.com/a/1190000037657222
版权

前言

偶然间看到几篇不错的文档,以此转载学习
源文:待你如初

1. 跨站脚本攻击(Cross Sites Script)

跨站脚本攻击,Cross Site Script(简称 CSS或)。指黑客通过“HTML注入”篡改了网页,插入了恶意的脚本(主要是JavaScript脚本),从而在用户浏览网页时,控制用户浏览器的一种攻击。

了解了什么是XSS,那你一定想知道,它有什么危害以及如何去防御
这里罗列一张列表:

  • 挂马
  • 盗取用户Cookie。
  • 钓鱼攻击,高级的钓鱼技巧。
  • 删除目标文章、恶意篡改数据、嫁祸。
  • 劫持用户Web行为,甚至进一步渗透内网。
  • 爆发Web2.0蠕虫。
  • 蠕虫式挂马攻击、刷广告、刷浏量、破坏网上数据

其它安全问题
常见的跨站脚本攻击也可分为:反射型XSS、存储型XSS、DOM Based XSS
下面针对这三种常见的类型做具体的分析

1.1 反射型XSS–也可被称为是HTML注入

反射型XSS,也称为"非持久型XSS"简单的把用户输入的数据"反射"给浏览器,即黑客往往需要诱使用户"点击"一个恶意链接攻击才能成功,用户通过点击这个恶意链接,攻击者可以成功获取用户隐私数据的一种方式。如:“盗取用户Cookie信息”、“破坏页面结构”、“重定向到其他网站”,盗取内网IP等。
那么既然反射型XSS也可以是HTML注入,那么它注入的关键自然也就从前端的HTML页面开始下手:

  1. 用户能够与浏览器页面产生交互动作(输入搜索的关键词,点击按钮,点击链接等等),但这些都需要去诱使用户去操作,说起来容易,做起来难。
  2. 用户输入的数据会被攻击方拼接出合适的html去执行恶意的js脚本,这样的过程就像是"一次反射"

1.2 存储型XSS

存储型XSS,也称为"持久型XSS",它与反射型XSS不同之处在于,它会将用户输入的数据"存储"在攻击方的服务器上,具有很强的"稳定性"。
例如:访问某黑客写下的一篇含有恶意JavaScript代码的博客文章,黑客把恶意脚本保存到服务端。

1.3 DOM based XSS

从效果上来说,也是"反射型XSS",单独划分出来,是因为其形成是通过修改页面的"DOM节点"形成的XSS。
例如:通过修改DOM节点上的绑定方法,用户无意间通过点击、输入等行为执行这些方法获取到用户的相关信息

1.4 如何去检测是否存在XSS

一般方法是,用户可以在有关键字输入搜索的地方输入后点击搜索,若弹框出现展示123,说明存在XSS漏洞,这就说明前端并没有对用户输入的内容过滤处理。

1.5 XSS的攻击方式

1.Cookie劫持

通过伪装一些图片和按钮等,诱使用户对其操作,使网页执行了攻击者的恶意脚本,使攻击者能够获取当前用户的Cookie信息

2.构造GET和POST请求

若某攻击者想删除某网站的一篇文章,首先获得当前文章的id,然后通过使用脚本插入图片发送一个GET请求,或构造表单XMLHTTPRequest发送POST请求以达到删除该文章的目的

3.XSS钓鱼

钓鱼这个词一般认识是起源于社会工程学,黑客使用这个这门学科的理念思想,在未授权不知情的情况下诱骗用户,并得到对方对方的姓名、年龄、邮箱账号、甚至是银行卡密码等私人信息。

比如:“某用户在某网站(已被攻击)上操作黑客伪造的一个登录框,当用户在登录框中输入了用户名(这里可能是身份证号等)和密码之后,将其信息上传至黑客的服务器上(该用户的信息就已经从该网站泄漏)”

4.获取用户真实的IP地址

通过第三方软件获取,比如客户端安装了Java环境(JRE),则可通过调用Java Applet的接口获取客户端本地的IP地址

1.6 XSS的防御方式

1.HttpOnly

原理:浏览器禁止页面的Javascript访问带有HttpOnly属性的cookie。(实质解决的是:XSS后的cookie劫持攻击)如今已成为一种“标准”的做法

解决方案:
JavaEE给Cookie添加HttpOnly的方式为:
response.setHeader(“Set-Cookie”,“cookiename=value; Path=/;Domain=domainvalue;Max-Age=seconds;HTTPOnly”);

2.输入检查(XSS Filter)

原理:让一些基于特殊字符的攻击失效。(常见的Web漏洞如XSS、SQLInjection等,都要求攻击者构造一些特殊字符)

  • 输入检查的逻辑,必须在服务端实现,因为客户端的检查也是很容易被攻击者绕过,现有的普遍做法是两端都做同样的检查,客户端的检查可以阻挡大部分误操作的正常用户,从而节约服务器的资源。

解决方案:
检查是否包含"JavaScript","“等敏感字符。以及对字符串中的<>:”&/'等特殊字符做处理

3.输出检查

原理:一般来说除了富文本输出之外,在变量输出到HTML页面时,使用编码或转义的方式来防御XSS攻击

解决方案:

  • 针对HTML代码的编码方式:HtmlEncode
  • PHP:htmlentities()和htmlspecialchars()两个函数
  • Javascript:JavascriptEncode(需要使用""对特殊字符进行转义,同时要求输出的变量必须在引号内部)
  • 在URL的path(路径)或者search(参数)中输出,使用URLEncode
4.更严格的做法

除了数字和字母外的所有字符,都使用十六进制的方式进行编码

楼兰逸梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web前端安全系列之:XSS攻防
javagty6778的博客
03-03 143
Web` 攻击技术的发展也可以分为几个阶段。在 `Web 1.0` 时代,人们更多的是关注服务器端动态脚本的安全问题,比如将一个可执行脚本(俗称 `webshell`)上传到服务器上,从而获得权限。后续有出现了`SQL`注入,`SQL`注入的出现是`Web`安全史上的一个里程碑,`SQL`注入漏洞至今仍然是`Web`安全领域中的一个重要组成部分。再后续另一个里程碑的安全问题问世--`XSS`(跨站脚本攻击)。伴随着 `Web 2.0` 的兴起,`XSS`、`CSRF` 等攻击已经变得更为强大。
前端安全XSS攻击
02-25
分别是:1.ReflectedXSS(基于反射的XSS攻击)2.StoredXSS(基于存储的XSS攻击)3.DOM-basedorlocalXSS(基于DOM或本地的XSS攻击)基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击...
前端安全系列(一):如何防止XSS攻击?
Innocence_0的博客
02-15 1488
前端安全系列(一):如何防止XSS攻击?
前端安全xss
Daisy
04-01 9370
xss: Cross site scripting 跨脚本站攻击 可能会遇到在get请求中的参数的内容会提交,然后显示在页面上。在get中的参数可能会嵌入JS代码,导致弹出脚本弹框或者进行一些操作。 浏览器也会对跨脚本攻击进行一般的拦截。 xss攻击原理: 程序 + 数据 = 结果 其中的数据变成了程序。 Scripting能干啥呢? 可以获取页面数据 获取cookies 劫持前端逻辑 发送...
前端XSS攻击和防御
weixin_30455661的博客
04-21 257
  xss跨站脚本攻击(Cross Site Scripting),是一种经常出现在web应用中的计算机安全漏洞,指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的。比如获取用户的Cookie,导航到恶意网站,携带木马等。   大部分的xss漏洞都是由于没有处理好用户的输入,导致攻击脚本在浏览器中执行,这就是跨站脚...
Web前端安全XSS攻击
ls_kevin的专栏
03-06 2885
什么是XSS XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。 皓眸大前端
前端安全XSS、CSRF防御)
weixin_30275415的博客
11-11 218
一、网络安全 OWASP:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project) OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。http://www.owasp.org.cn/ 二、XSS攻击 1、总...
web安全前端编码规范1
08-04
Web安全前端编码规范详解》 在Web应用开发中,前端安全性同样至关重要。本文将详细阐述《Web安全前端编码规范》,旨在提升Web应用的安全性,预防潜在的攻击风险。 一、项目设计阶段的安全考虑 在项目初始设计...
前端性能优化与Web安全
08-26
在现代Web开发中,前端性能优化与Web安全是两个至关重要的主题。性能优化关乎用户体验,而Web安全则关乎用户的数据安全。以下将详细介绍这两个领域的关键知识点。 **性能优化** 1. **UI篇**: - 图像处理:根据...
jQuery-with-XSS 检测jQuery版本是否存在XSS漏洞
09-29
网站中包含大量的动态内容以提高用户体验,比过去要复杂得多。所谓动态内容,就是根据用户环境和需要,Web应用程序能够输出相应的内容。动态站点会受到一种名为“跨站脚本攻击”(Cross Site Scripting, 安全专家们通常将其缩写成XSS,原本应当是css,但为了和层叠样式表(Cascading Style Sheet,CSS )有所区分,故称XSS)的威胁,而静态站点则完全不受其影响。
前端安全XSS
2301_76694151的博客
04-26 382
XSS, 即为(Cross Site Scripting), 中文名为跨站脚本, 是发生在目标用户的浏览器层面上的,当渲染DOM树的过程成发生了不在预期内执行的JS代码时,就发生了XSS攻击。跨站脚本的重点不在‘跨站’上,而在于‘脚本’上。大多数XSS攻击的主要方式是嵌入一段远程或者第三方域上的JS代码。实际上是在目标网站的作用域下执行了这段js代码。
前端网络安全(一):XSS
qq_53058639的博客
02-08 1028
原本的简称应该是CSS,但是为了和层叠样式表CSS区分,故而改称为XSSXSS攻击一般是指黑客通过 HTML注入篡改了页面,插入恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。针对各种不同场景产生的各种XSS,我们则需要区分情景对待。
前端安全问题之----XSS
YMX2020的博客
07-06 301
前端安全问题之-----XSS ​ 各行各业“安全”问题都是一个很大的话题,在IT中我们可以把安全问题按照发生的区域分,可以分为后端安全问题和前端安全问题,作为一名前端开发,这篇文章我们就先来总结一哈给前端有关的安全问题咯。 XSS攻击 ​ 又叫跨站脚本攻击,主要是通过用户输入或者其他方式,来向我们的程序中注入一些带有危险行为的代码,一旦我们没有很强的防御意识,去执行了这段危险代码,我们的程序就会受到相应的攻击 ​ 常见的有: 留言板/富文本(持久性攻击) 通过修改URL参数的方式加入攻击代码htt
二.前端安全XSS
我是渣渣
12-27 368
概述全称为Cross Site Scriptiong,即跨站脚本。发生在目标网站中目标用户的浏览器层面上,当用户浏览器渲染整个HTML文档的过程会出现不被预期的脚本指令并执行时,XSS就会发生。 目标网站的目标用户:强调了场景 浏览器:因为这类攻击都是有浏览器来解释执行的。浏览器会严格执行共同的约定,同源策略,不符合的约定的就不会执行。 不被预期的:就是很可能是攻击者在输入时提交了可
前端安全XSS、CSRF)
程展威的博客
05-29 4325
前端安全XSS和CSRF介绍及避免方案
前端安全XSS和CSRF)
mkbird的博客
09-08 1154
相对来说token的用户体验会更好,将token存在我们自己的网页中,只有通过自己的网页发起的请求才能携带token,而只有携带token的请求后端才会响应。更为严重的后果可能是,攻击者用你的账户再次发布了链接,其他用户一旦点开,就会继续中招,形成CSRF蠕虫,不断传播。脚本中创建一个图片,图片中创建一个img,在img的src中将请求地址改为自己的脚本,并附带当前网站的cookie,就可以拿到cookie了。点击搜索,我们会发现,网站"执行了"我们的脚本,这样我们就实现了最简单的xss攻击。
彻底理解前端安全面试题(1)—— XSS 攻击,3种XSS攻击详解,建议收藏(含源码)
最新发布
Karka_的博客
03-03 1434
xss 攻击的三种类型都用代码模拟了,我的仓库地址如下,欢迎查看内容较多,难免疏漏,如有问题,欢迎指正。这是一系列的文章,关于网络安全的内容还有 CSRF、CORS 和中间人攻击的内容没有总结,持续更新中,欢迎关注。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。
XSS中途补WEB开发学习【前端粗学习】
taozijun的博客
07-28 310
学习XSS的时候遇到一些问题,决定用几天学一下基础的WEB开发的知识,以求以后做题的时候思路不要那么局限。 这篇是学习前端开发基础的一些体会 博主看的教程 - &gt;网易云课堂上面的螺钉课堂发布的html + css系列和javascript入门系列,html和css简单地浏览略过即可。 一。编写工具 学习网络开发首先需要一个开发工具,总不可能用记事本打网页(滑稽) 了解到了“HBui...
Web前端安全XSS与CSRF深度剖析
"Web前端安全" Web前端安全是一个重要的领域,主要关注的是在Web应用程序中防止恶意攻击和数据泄露。此话题涵盖了多个子主题,包括XSS(跨站脚本)漏洞挖掘与利用、CSRF(跨站请求伪造)、对域和同源策略的理解,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值