前端面试常问--计算机网络--网络攻击XSS与CSRF

最新推荐文章于 2024-09-03 12:57:01 发布
最新推荐文章于 2024-09-03 12:57:01 发布
阅读量1.2k 收藏 5
点赞数 3
分类专栏: 计算机网络 面试题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zemprogram/article/details/109451863
版权

XSS(Cross Site Scripting)

XSS攻击全称跨站脚本攻击,之所以首字母是X,是为了区别于层叠样式表CSS

使用cookie,localStorage,sessionStorage时要注意是否有代码存在XSS注入的风险,攻击者在有XSS缺陷的页面会窃取用户的对应信息

XSS注入的方法

XSS注入实际上就是通过页面设计时的缺陷,利用浏览器对于某处代码的解析,让浏览器去执行恶意代码

  • 在 HTML 中内嵌的文本中,恶意内容以 script 标签形成注入。
  • 在内联的 JavaScript 中,拼接的数据突破了原本的限制(字符串,变量,方法名等)。
  • 在标签属性中,恶意内容包含引号,从而突破属性值的限制,注入其他属性或者标签。
  • 在标签的 href、src 等属性中,包含 javascript: 等可执行代码。
  • 在 onload、onerror、onclick 等事件中,注入不受控制代码。
  • 在 style 属性和标签中,包含类似 background-image:url(“javascript:…”); 的代码(新版本浏览器已经可以防范)。
  • 在 style 属性和标签中,包含类似 expression(…) 的 CSS 表达式代码(新版本浏览器已经可以防范)。

攻击类型

一、 反射型 (非持久型)

是指发生请求时,XSS代码出现在请求URL中,作为参数提交到服务器,服务器解析并响应。响应结果中包含XSS代码,最后浏览器解析并执行。
举个例子

`${
     url}?name=<script>alert(111)</script>`

攻击步骤

  1. 攻击者构造出特殊的 URL,其中包含恶意代码。
  2. 用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器。
  3. 用户浏览器接收到响应后解析执行,混在其中的恶意代码也被执行。
  4. 恶意代码窃取用户数据并发送到攻击者的网站,或者冒充用户的行为,调用目标网站接口执行攻击者指定的操作。

反射型 XSS 跟存储型 XSS 的区别是:存储型 XSS 的恶意代码存在数据库里,反射型 XSS 的恶意代码存在 URL 里。

反射型 XSS 漏洞常见于通过 URL 传递参数的功能,如网站搜索、跳转等。

举个例子,当我们在test.html中有一个搜索的url,test.html?q=xxx,这里的xxx就是搜索的内容,而我们在自己的攻击网站hacker.html中,添加一个跳转

最低0.47元/天 解锁文章
前端小黑
关注
专栏目录
浅析XSSCSRF攻击及防御
koastal的博客
10-23 8166
XSS攻击CSRF攻击XSSCSRF的关系XSS防御CSRF防御总结以上介绍的攻击和防御方法都是一些基本的情况,所介绍的防御机制并不能保证绝对安全,但是应该可以防御一般的攻击情况了,我们做了这些处理总是比没做要好,不是么?
web前端面试题(必背面试题
Z_Gleng的博客
05-25 3万+
自己总结的常见的面试题 总字数13万+ 大概有200+左右道题 会不定期更新
前端面试查漏补缺--(七) XSS攻击CSRF攻击
cpongo011702
02-23 821
前言 本系列最开始是为了自己面试准备的.后来发现整理越来越多,差不多有十二万字符,最后决定还是分享出来给大家. 为了分享整理出来,花费了自己大量的时间,起码是只自己用的三倍时间.如果喜欢的话,欢迎收藏,关注我!谢谢! 文章链接 前端面试查漏补缺--(一) 防抖和节流 前端面试查漏补缺--(二) 垃圾回收机制 前端面试查漏补缺--(三) 跨域及常见解决办法 前端面试查漏补缺--(四) 前端本地存储...
2024高频前端面试题合集之网络篇_前端面试题网络问题
最新发布
2401_86400247的博客
09-03 1854
参考答案:针对 HTTPS 攻击主要有 SSL 劫持攻击和 SSL 剥离攻击两种。SSL 劫持攻击是指攻击者劫持了客户端和服务器之间的连接,将服务器的合法证书替换为伪造的证书,从而获取客户端和服务器之间传递的信息。这种方式一般容易被用户发现,浏览器会明确的提示证书错误,但某些用户安全意识不强,可能会点击继续浏览,从而达到攻击目的。
前端必须懂的计算机网络知识—(XSSCSRF和HTTPS)
weixin_33762321的博客
10-02 299
前端必须懂的计算机网络知识系列文章: DNS服务器和跨域问题 计算机网络的分层模型 IP地址和MAC地址 前端必须懂的计算机网络知识—(跨域、代理、本地存储) 前端必须懂的计算机网络知识—(TCP) 前端必须懂的计算机网络知识—(HTTP) 前端必须懂的计算机网络知识—(XSSCSRF和HTTPS) HTTP为什么不安全 可能被窃听: HTTP 本身不具备加密的功能,HTTP 报文使用...
前端面试】07 安全问题:CSRFXSS
微子细的博客
08-23 1033
本文笔记基于「千古壹号」的GitHub项目:https://github.com/qianguyihao/web 文章目录1.考点2.解决方法2.1 CSRF 1.考点 CSRF XSS 不会太难,考察基本概念、攻击方式、防御措施 2.解决方法 2.1 CSRF 1.基本概念、缩写、全称? CSRF:Cross-site request forgery,跨站请求伪造 2.攻击原理 ...
前端面试的常见问题(1):Web安全的XSS攻击CSRF攻击
WarrenLee的博客
11-07 402
XSS攻击(跨站脚本攻击XSS 的全称是 Cross Site Scripting 也就是跨站脚本,当目标网站目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并执行时,XSS就发生了。 Xss会导致挂马,盗取用户cookie,爆发web2.0蠕虫,蠕虫的Ddos攻击。 它分为反射型,存储型,dom-based型。 反射型:通过reflect植入script脚本,出现在用户聊天和...
前端面试题之计算机网络类题集.zip
06-21
9. **网络安全性**:了解常见的网络攻击,如DDoS、SQL注入、XSSCSRF,以及相应的防御措施。 10. **HTTP缓存策略**:理解强缓存和协商缓存,以及Cache-Control、ETag、Last-Modified等缓存相关的HTTP首部字段。 ...
全网最全前端必问面试题(持续更新中)
m0_63760882的博客
07-23 1075
在这种模式下,路由的改变会修改浏览器的历史记录,并触发浏览器的页面刷新。总之,vue-loader是一个用于将Vue单文件组件转换为JavaScript模块的Webpack加载器,提供了许多功能和扩展,使得开发Vue应用程序更加方便和高效。5. 页面性能:每个 iframe 都需要加载独立的 HTML、CSS 和 JavaScript,这会增加页面的请求和加载时间,降低页面的性能。6. 交互限制:由于浏览器的安全策略,跨域的 iframe 之间的通信受到限制,无法直接访问和操作对方的内容。
前端基础知识点-每天一个基本知识点(100+个前端小知识,你是否都知道?)
m0_67394006的博客
03-02 9235
文章目录 前言 第一回合 一、知识点:cookie(21/09/06) 二、知识点:节流和防抖(21/09/07) 三、知识点:var和let以及const(21/09/08) 四:知识点:深拷贝和浅拷贝(21/09/09) 五、知识点:作用域和作用域链(21/09/10) 六、知识点:从输入URL到页面展示这中间发生了什么(21/09/11) 七、知识点:重排和重绘(21/09/12) 八、知识点:TCP和UDP(21/09/13) 九、知识点:三次握手(21/09/15) 十、知识点:绝对定位和相对定
面试:前端安全之XSSCSRF
热门推荐
qq_43592064的博客
05-26 4万+
前端安全
前端安全(XSSCSRF防御)
weixin_30275415的博客
11-11 244
一、网络安全 OWASP:开放式Web应用程序安全项目(OWASP,Open Web Application Security Project) OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。http://www.owasp.org.cn/ 二、XSS攻击 1、总...
经典面试题xss攻击和防御
weixin_34290631的博客
05-29 864
XSS 分为三种:反射型,存储型和 DOM-based 如何攻击 XSS 通过修改 HTML 节点或者执行 JS 代码来攻击网站。 例如通过 URL 获取某些参数 <!-- http://www.domain.com?name=<script>alert(1)</script> --> <div>{{name}}</div>...
前端面试笔记9:前端安全之 XSS 攻击
qq_52287721的博客
01-01 2572
前端安全 XSS 攻击 文章目录前端安全 XSS 攻击XSS 是什么?XSS 攻击的类型DOM 型 XSS 攻击反射型 XSS 攻击存储型 XSS 攻击如何防范 XSS 攻击XSS 是什么? XSS 的全名是 Cross Site Script(跨站脚本)的缩写。这里存在一个问题,为什么缩写是 XSS 而不是 CSS?因为如果叫 CSS 就和层叠样式表 CSS 重音了。所以缩写为 XSSXSS 攻击指的是跨站脚本攻击,是一种代码注入攻击攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗
前端面试--网络安全(网络攻击和防范措施)
m0_51123132的博客
06-21 1543
前端面试
面试之-理解XSSCSRF攻击原理与实践
WLANQY的博客
02-03 241
利用受害者在被攻击网站已经获取的注册凭证(cookie),一般网站都是直接根据cookie判断是否是合法登录,由于受害者的cookie已经被获取了,所以被攻击网站就会认为是合法用户。而CSRF攻击之所以能够成功,是因为服务器误把攻击者发送的请求当成了用户自己的请求。服务器通过校验请求是否携带正确的Token,来把正常的请求和攻击的请求区分开,也可以防范CSRF攻击。前面讲到CSRF的另一个特征是,攻击者无法直接窃取到用户的信息(Cookie,Header,网站内容等),仅仅是冒用Cookie中的信息。
面试题XSS攻击
qq_39581763的博客
05-14 763
XSS跨域脚本攻击原理无需登录认证,核心原理就是向你的页面注入脚本。1、反射型:发出请求时,XSS代码出现在URL中,作为输入提交到服务器端,服务器端解析后响应,XSS代码随响应内容一起传回给浏览器,最后浏览器解析执行XSS代码。2、存储型:存储型XSS和反射型XSS的差别仅在于,提交的代码会存储在服务端(数据库,内存,文件系统等),下次请求目标页面时不用再提交XSS代码。(例如:常见的评论,在文本框中输入一段代码,那么就会存放在数据库当中,当再次加载的时候便会执行这样的代码)。常见的场景留言、评论、注册、
前端攻击xsscsrf
baibaider的博客
03-19 756
被动攻击:   诱发用户触发陷阱启动发送。 利用用户身份攻击企业内部网络。 主动攻击:   攻击者直接访问web应用,就能发起对web应用的攻击,比如sql注入(对数据运行非法sql产生的泄露机密信息)和os命令注入(通过程序运行非法操作系统指令,在能调用shell函数的地方,因为web通过shell来调用操作系统指令)。 xss:(Cross Site Scripting,为了区别于c...
计算机网络XSS攻击
weixin_52690231的博客
03-16 5786
计算机网络XSS攻击
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值