浅析前端安全(XSS、CSRF)

最新推荐文章于 2025-02-17 16:28:22 发布
最新推荐文章于 2025-02-17 16:28:22 发布
阅读量232 收藏
点赞数
分类专栏: 前端安全 文章标签: 安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/C_fashionCat/article/details/115010887
版权

XSS(跨站脚本攻击——Cross-site scripting)

表现形式: 攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页的时候,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。
1、恶意脚本分类:
表现步骤:

注入恶意的脚本例如js,html等将一些隐私的数据像cookie、session发送给攻击者,将受害者重定向到一个有攻击者控制的网站,在受害者的机器上进行一些恶意操作

  • 反射性(非持久型)

    当浏览器进行请求的时候,注入恶意代码到服务器上,将一些内容,例如密码,用户名等等以铭文的方式返回。

  • 存储型(持久型)

    当浏览器进行请求时,注入恶意代码,将信息同步更新到服务库内保存,下次请求出来的时候,会带着被插入的数据,影响面比较广

  • 基于Dom

    当浏览器从服务器获取数据的时候,注入恶意代码,添加html代码,更改页面的展示

2、防御措施
  • 输入过滤
    对请求和返回的数据进行格式、长度等一律进行验证过滤
  • 输出转义
  • 使用httpOnly cookie请求头,锁死
    将重要的cookie标记为httpOnly,这样的话,浏览器像wen服务器发送请求的时候就会带着cookie的字段,但是在js脚本就不能访问这个cookie,也就是避免了xss攻击利用js的doucument.cookie获取cookie

CSRF(跨站请求伪造——Cross-site request forgery)

表现形式: 攻击者通过网站B诱使用户去访问已经登录过的网站A,进行一些违背用户意愿的操作。攻击者不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何用户生成内容的网站中。
防御措施
  • 主要是在服务器端做
  • 验证http referer

    HTTP头中有一个Referer字段,这个字段用以标明请求来源于哪个地址
    在这里插入图片描述

  • token验证
  • 验证码验证
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天与家人陪伴的日子。感谢武汉大学,感谢这些大佬师傅们(尤其出题解题的老师们)~
[网络安全自学篇] 十八.XSS跨站脚本攻击原理及代码攻防演示(一)
热门推荐
杨秀璋的专栏
10-12 2万+
这是作者的系列网络安全自学教程,主要是关于网安工具实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Python弱口令攻击、自定义字典生成,并构建了Web目录扫描器;本文将详细讲解XSS跨站脚本攻击,从原理、示例、危害到三种常见类型(反射型、存储型、DOM型),并结合代码示例进行详细讲解,最后分享了如何预防XSS攻击。本文参考了爱春秋ADO老师的课程内容,这里也推荐大家观看他Bilibiliichunqiu的课程,同时也结合了作者之前的编程经验进行讲解。
浅谈前端安全
weixin_43675915的博客
06-10 7630
1 什么是前端安全? 2 前端目前存在哪些安全问题 2.1 xss跨站脚本攻击 xss说白了就是攻击者想尽一切的方法,将可执行的代码注入到我们的页面中,让页面进行一些非法的操作。 2.1.1 分类 xss从攻击的时间上可以分为持久型攻击非持久型攻击。 2.1.1.1 持久型 持久型的就是指攻击者通过我们的页面,将具有攻击性的代码通过服务器保存到了数据库中,导致其他的用户在浏览当前页面时,受到了攻击。最常见的就是具有评论功能的页面。 2.1.1.2 非持久型 非持久型相比于持久型攻击危害就小的多了,一般通过
前端安全问题及解决办法
dazu9487的博客
12-14 865
一、随着前端的快速发展,各种技术不断更新,但是前端安全问题也值得我们重视,不要等到项目上线之后才去重视安全问题,到时候被黑客攻击的时候一切都太晚了。 二、本文将讲述前端的六大安全问题,是平常比较常见的安全问题,当然如果还有其他必要重要的安全问题大家可以帮忙补充: 1、XSS(Cross-Site Scripting)脚本攻击漏洞; 2、CSRF(Cross-sit request...
前端安全
qq_40781291的博客
03-12 180
XSS攻击 存储型XSS 反射型XSS DOM型XSS
前端方面的安全
u011435776的博客
06-26 479
一、XSS    跨脚本攻击XSS(Cross Site Scripting)是跨站脚本攻击,为了区分CSS,所以缩写为XSSXSS攻击方式是往Web页面插入恶意的 JavaScript 代码,当用户浏览网页的时候,插入的代码就是被执行,从而达到攻击的目的。其中应用比较多的一个就是,在网页一些公用的交互区域。比如搜索的文本框,除了可以输入一些关键字,还可以输入一些 JavaScript 代码,一...
前端安全XSSCSRF
mkbird的博客
09-08 1773
相对来说token的用户体验会更好,将token存在我们自己的网页中,只有通过自己的网页发起的请求才能携带token,而只有携带token的请求后端才会响应。更为严重的后果可能是,攻击者用你的账户再次发布了链接,其他用户一旦点开,就会继续中招,形成CSRF蠕虫,不断传播。脚本中创建一个图片,图片中创建一个img,在img的src中将请求地址改为自己的脚本,并附带当前网站的cookie,就可以拿到cookie了。点击搜索,我们会发现,网站"执行了"我们的脚本,这样我们就实现了最简单的xss攻击。
浅析 Web 安全XSSCSRF
2401_85124812的博客
05-28 1008
一个小插曲:写了两个多小时的时候网页崩溃了,当时心态都崩了,又重新写了一遍。前言==整理面经的时候好多前端的面经里面都有 web 安全相关的内容,所以就详细了解了一下,但是这几次面试其实都没有问到,今天晚上也问了面试官虽然 XSS CSRF 前端安全相关,但是其实前端能做的并不多,最多只是对一些特殊字符进行转义,但是其实主要的工作还是后端来做,所以前端到底能做什么来预防这些东西。面试官是这么跟我说的,他说前端只是一个大门,并不能挡住所有东西,但是还是要对这些东西有所了解。
浅析/XSS/CSRF/同源策略
weixin_43905830的博客
11-20 726
3、浏览器安全 3.1、同源策略 什么是同源? 如果两个url的协议、域名、端口相同,就称这两个url是同源 比如http://store.company.com:80/index.html http://store.company.com:80/dir/index.html是同源,而 https://store.company.com:80/index.html http://store.company.com:80/index.html不同源,因为协议不同。 同源策略主要表现在DOM、Web数据
浅析前端监控与埋点:洞察用户行为,优化产品体验
最新发布
weixin_47238919的博客
02-17 231
为了打造更优质的用户体验,我们需要深入了解用户如何与我们的产品互动,而前端监控与埋点正是实现这一目标的重要手段。通过监控产品运行状况用户行为数据,我们可以更好地理解用户需求,持续改进产品体验,最终实现产品的成功。前端监控如同产品的“听诊器”,实时监测着网站或应用的运行状况,帮助我们及时发现并解决问题。埋点如同在关键位置设置的“传感器”,用于收集用户在产品中的具体行为数据。用户点击、页面浏览、表单提交等,分析用户行为路径,优化产品设计。相信在未来,前端监控与埋点将会发挥更大的价值,为产品成功保驾护航。
前端框架中的前端安全性(Front-end Security)
官方推荐
06-27 3299
前端框架中的前端安全性(Front-end Security)
前端安全性问题
IT_bar的博客
09-08 375
前端安全性问题 1、xss跨站脚本攻击(原理、如何进行的、防御手段是什么,要说清楚) 2、CSRF跨站请求伪造(如何伪造法?怎么防御?等等都要说清楚) 3、sql脚本注入(注入方式,防御方式) 4、上传漏洞 (防御方式) 1.xss攻击 xss攻击又叫做跨站脚本攻击,主要是用户输入或通过其他方式,向我们的代码中注入了一下其他的js,而我们又没有做任何防范,去执行了这段js。 可能用户会写一个死循环,将我们的页面给弄崩了,但是也有可能通过这种方式,来获取我们的cookie,从而回去登陆态等信息 xss攻击从来
前端安全知识(XSSCSRF
野生松
02-12 399
一、XSS(跨站脚本攻击) xss:跨站脚本攻击(Cross Site Scripting)是最常见基本的攻击 WEB 网站方法,攻击者通过注入非法的 html 标签或者 javascript 代码,从而当用户浏览该网页时,控制用户浏览器。 1、常见的攻击方式 在输入框输入恶意代码(例如评论) 劫持用户的cookie 2、防御方式 httpOnly: 在 cookie 中设置 Http...
前端安全问题
yan_Wylde的博客
06-17 145
1.XSS攻击(跨站脚本攻击) 攻击者将可执行代码植入网页。 例如可以在评论页面插入代码: <script>alert('你被攻击了')</script> 危害性: 用户的数据可能被窃取 强行改变程序的执行方式 分类: 反射型XSS(非持久型) 攻击步骤: 攻击者构造出特殊的 URL,其中包含恶意代码。 用户打开带有恶意代码的 URL 时,网站服务端将恶意代码从 URL 中取出,拼接在 HTML 中返回给浏览器。 用户浏览器接收到响应后解析执行,混在
详解前端安全XSS&CSRF),看了这篇,面试再也不怕不会说安全相关的了
xiaoxiaofly的博客
05-22 2066
XSS Cross-Site Scripting (跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使其在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。 1.XSS的本质是:恶意代码未经过滤,与网站正常的代码混在一起;浏览器无法分辨哪些脚本是可信的,导致恶意脚本执行。 2.由于直接在用户的终端执行,恶意代码能够直接获取用户的信息,或者利用这些信息冒充用户向网站发起攻击者定义的请求。 3.在部分
前端开发的安全性问题
撒娇卖萌求offer的博客
06-13 588
web大前端开发中一些常见的安全性问题 浅谈前端WEB安全()
认识前端安全
WilsonLiu's Blog
08-16 3131
前端安全一直是一个蛮严苛的问题,特别如果设计到money更是如此。 了解前端安全,在平时的coding中主动考虑,防范于未然,是一个有追求的程序猿应该做的。未登录我们从弱弱的基本开始,第一步当然是登录鉴权了,如果一个需要用户身份鉴权的应用系统没有登录过滤那简直是没法想像的,方案基本都是用户输入用户名 密码、或是三方 openID 授权后在 session 里保存用户此次登录的凭证来确保每次请求的
Web前端安全XSSCSRF深度剖析
"Web前端安全" Web前端安全是一个重要的领域,主要关注的是在Web应用程序中防止恶意攻击数据泄露。此话题涵盖了多个子主题,包括XSS(跨站脚本)漏洞挖掘与利用、CSRF(跨站请求伪造)、对域同源策略的理解,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值