xxs和csrf的防御

最新推荐文章于 2022-12-17 14:43:48 发布
最新推荐文章于 2022-12-17 14:43:48 发布
阅读量733 收藏
点赞数
分类专栏: 小知识总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zyq51/article/details/108541273
版权
本文详细介绍了XSS和CSRF的防御方法,包括使用HttpOnly防止Cookie劫持,进行输入和输出检查,以及防御CSRF的验证码、Referer Check和Token验证策略。通过这些措施,可以有效地增强网站的安全性。
摘要由CSDN通过智能技术生成

一、关于xxs和csrf的防御

1.防御XSS攻击

HttpOnly 防止劫取 Cookie

用户的输入检查

服务端的输出检查

2.防御CSRF攻击

验证码

Referer Check

Token 验证

二、详解

XSS
1 HttpOnly 防止劫取 Cookie

HttpOnly 最早由微软提出,至今已经成为一个标准。浏览器将禁止页面的Javascript 访问带有 HttpOnly 属性的Cookie。

上文有说到,攻击者可以通过注入恶意脚本获取用户的 Cookie 信息。通常 Cookie 中都包含了用户的登录凭证信息,攻击者在获取到 Cookie 之后,则可以发起 Cookie 劫持攻击。所以,严格来说,HttpOnly 并非阻止 XSS 攻击,而是能阻止 XSS 攻击后的 Cookie 劫持攻击。

2.1 输入检查

不要相信用户的任何输入。 对于用户的任何输入要进行检查、过滤和转义。建立可信任的字符和 HTML 标签白名单,对于不在白名单之列的字符或者标签进行过滤或编码。

在 XSS 防御中,输入检查一般是检查用户输入的数据中是否包含 <,> 等特殊字符,如果存在,则对特殊字符进行过滤或编码,这种方式也称为 XSS Filter。

而在一些前端框架中,都会有一份 decodingMap, 用于对用户输入所包含的特殊字符或标签进行编码或过滤,如 <,>,script࿰

最低0.47元/天 解锁文章
z逍遥
关注
专栏目录
6、springboot-防止xxs攻击
aunt_y的博客
05-25 3545
疫情大数据平台是一个公益的项目,但很可能被网络上大量的扫描器扫描,并有可能收到脚本的攻击,而进行防御就是很重要的,可以有效的避免我们被攻击。 本篇主要讲述防止xss攻击部分 定义: ​ XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。 原理: ​ HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,与之间的字符是页面的标题等等。当动态页面中插入的内容
XXS攻击
qq_46172668的博客
07-24 2176
XXS攻击 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、 VBScript、ActiveX、 Flash 或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。 类型 从攻击代码的工作方式可以分为三个类型: (1)持久型跨站:最直接的危害类型,跨站代码存储在服务器(数据
CSRF攻击与XXS攻击
dote718178的博客
11-11 377
浏览器中关于前端的csrfxxs攻击详情
防止xxs攻击
祁_z
08-23 6025
xxs攻击描述 跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script(php,js等)代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 攻击的条件 XSS攻击需要具备两个条......
XSS 防御方法总结
weixin_33932129的博客
08-03 2784
1. XSS攻击原理 XSS原称为CSS(Cross-Site Scripting),因为和层叠样式表(Cascading Style Sheets)重名,所以改称为XSS(X一般有未知的含义,还有扩展的含义)。XSS攻击涉及到三方:攻击者,用户,web server。用户是通过浏览器来访问web server上的网页,XSS攻击就是攻击者通过各种办法,在用户访问的网页中插入自己的脚本,让其在用...
csrf和ssrf漏洞的原理是?如何防御和利用csrf和ssrf漏洞
DXfighting_的博客
04-14 946
Csrf原理: CSRF是一种依赖web浏览器的、被混淆过的代理人攻击。 防御csrf漏洞: 验证token,验证HTTP请求的Referer,还有验证XMLHttpRequests里的自定义header Ssrf漏洞原理: 很多web应用都提供了从其他的服务器上获取数据的功能。使用指定的URL,web应用便可以获取图片,下载文件,读取文件内容等。SSRF的实质是利用存在缺陷的web应用作为代理攻击远程和本地的服务器。一般情况下, SSRF攻击的目标是外网无法访问的内部系统,黑客可以利用S
springboot后端实现防御xSRF攻击的策略代码.zip
02-10
本包中,含有2个实现springboot后端实现防御xSRF攻击的策略代码,具体使用,还需要看您的具体场景,进行区分使用!CSRFInterceptor.java、XSRFHandlerInterceptor.java
前端常见攻击及防范 xxs csp csrf...
weixin_42542616的博客
08-03 522
xxs 什么是 XSS 攻击?如何防范 XSS 攻击?什么是 CSP? XSS 简单的理解就是,攻击者想尽一切办法将可执行的代码注入到网页中。 XSS 可以分为多种类型,但是总体上我认为分为两类:持久型和非持久型。 持久型也就是攻击的代码被服务端写入进数据库中,这种攻击危害性很大,因为如果网站访问量很大的话,就会导致大量正常访问页面的用户都受到攻击。 例子 对于评论功能来说,就得防范持久型 XSS 攻击,因为我可以在评论中输入以下内容 <script> alert('111
XSS和CSRF两种攻击方式
weixin_43183219的博客
05-11 1583
什么是xss攻击,三种xss攻击方式详解,如何防御xss攻击,什么是CSRF攻击,CSRF攻击的原理、特点以及xss和CSRF的区别
web安全之XSS攻击及防御pdf
08-25
web安全之XSS攻击及防御,
Web应用安全防护-XXS
壮乡码农
12-07 4837
一、什么是XSS? XSS: Cross Site Script ,跨站脚本攻击。恶意攻击者在页面中注入恶意Script代码,在用户浏览时,恶意代码会被执行,从而达到攻击的目的。 恶意者通常会通过Web应用提交的内容提交Script代码,导致浏览器将用户输入的内容当成了代码执行。 二、XSS 攻击类型 1)持久性XSS 将恶意代码保存在数据库中,谁加载到该数据谁则被攻击,常见博客、论坛中。而且是长期的威胁。 2)反射性XSS 2)DOM性XSS...
xss和csrf(详解)
qq_62046696的博客
06-30 4268
感觉自己的基础漏洞原理不太牢固,那就一起来复习一下吧!!!XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。大白话就是,他是再允许的范围内进行上传代码的操作,然后让被害者点击。XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击3、XSS攻击后果:盗用Cookie破坏页面的正常结构,插入广告
XSS 最全攻防之战!
frontend_frank的博客
08-15 769
背景为了提高页面性能,减少白屏时间,我的详情页面接收上游列表传过来的一个参数 cover,这是一张在上一个列表页面已经加载过了的图片链接,当跳转到我的页面时,首先将这张图片显示出来(浏览器...
XSS 和 CSRF
sun_cainiao的博客
03-21 751
介绍两种最常见的针对 web 应用的攻击方式。 XSS (Cross-site scripting) 跨站脚本攻击 攻击者能够利用跨站脚本漏洞来绕过访问控制(access control),比如单源策略(same-origin policy)。 单源策略: 如果一个站点的内容有权限访问浏览器上的某些资源(比如 cookie),那么来自这个站点的所有内容都可以共享这些权限。 跨站点脚...
最全的XSS漏洞攻防
最新发布
qq_53530934的博客
12-17 1040
XSS漏洞攻防/pikachu靶场XSS破解
前端攻防(XXS、CRSF、sql注入)
qq_31392495的博客
10-21 1987
一、XXS跨站脚本攻击 原理:恶意攻击者在web页面中插入一些恶意的script代码。 攻击类型:丰持久性XSS攻击(反射型和DOM-base型)和持久性XSS攻击(存储型) 1.1 反射型 攻击步骤: 攻击者将恶意XSS代码写在目标网站url的search中,将url发给受害者 受害者用户打开该页面,XSS代码作为输入提交到服务端,服务端将XSS代码从url中取出拼接到html中返回给浏览器 浏览器解析html的同时会执行XSS恶意代码 恶意代码执行后,获取用户信息并发送到攻击者的服务器 攻击者
前端防止xxs攻击,一看就会!
yinyueyu007的博客
10-22 441
项目开发中遇到xxs攻击,通过前端方法进行处理。 通过前端方法在渲染数据之前进行转义。 htmlEncodeByRegExp: function (str) { var s = “”; if (str.length == 0) return “”; s = str.replace(/&/g, “&”); s = s.replace(/</g, “<”); s = s.replace(/>/g, “>”); s = s.replace(/ /g, "&nb..
系统安全--csrf攻击、为关键cookie设置httpOnly属性(防止xss攻击)安全问题
wuqinghua_1016的专栏
10-12 7635
为关键cookie设置httpOnly属性 首先,设置了HttpOnly属性的cookie变量无法被js获取,而XSS就是在别人的应用程序中恶意执行一段JS以窃取用户的cookie,所以为关键Cookie设置HttpOnly属性可以有效防止XSS攻击(Cross Site Scripting  跨站脚本攻击)。 但实际中有很多Cookie需要给前端JS使用,因此一般的安全问题只需要关注关键Co...
Spring Security CSRF防御详解与实现
Spring Security中的CSRF防御原理涉及到...Spring Security通过整合CSRF防御机制,为Web应用提供了一层坚实的安全防护,确保用户数据的安全性和隐私不受非法篡改。理解和配置好CSRF防护,对于现代Web开发来说至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值