三种常见web攻击方式,xss、csrf和clickJacking

最新推荐文章于 2025-02-13 22:52:49 发布
最新推荐文章于 2025-02-13 22:52:49 发布
阅读量3.1k 收藏 7
点赞数 1
CC 4.0 BY-SA版权
分类专栏: web web安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/adrianzqt/article/details/77801635
本文介绍了三种常见的web安全攻击:xss跨站脚本、csrf跨站请求伪造和clickJacking点击劫持,详细讲解了它们的工作原理和相应的防御措施,包括验证用户输入、使用验证码、设置HTTP头等策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近看了360的前端面试题,其中涉及到了很多web安全的知识,突然意识到自己对这方面知之过少,所以花了一下午时间简单了解梳理了web安全相关的基础知识,在这里记录三种比较『纯』前端的攻击方式及其相应的防御方法

一、xss跨站脚本攻击(Cross Site Scripting)

  1. 如果网站带有评论功能并将评论内容直接存到服务器中,那么显示评论的时候就可能遭到之前恶意用户恶意评论的攻击
  2. 原理主要是通过在评论中输入html标签,如标签,就相当于往你的网页中嵌入了一段脚本
  3. 理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在xss漏洞

例如在评论框中输入:

<script>
  while(true) {
    alert('Welcome!');
  }
</script>

如此一来,当再次刷新页面的时候,你的网站就会一直显示”Welcome”

或者:

<script&
最低0.47元/天 解锁文章

200万优质内容无限畅学
前端安全XSSCSRF
yangyang的专栏
07-09 1212
1.概念 XSS:Cross Site Script,中译是跨站脚本攻击 CSRF:Cross-site request forgery,中文为跨站请求伪造 XSS 攻击是指攻击者在网站上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时,对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式CSRF是一种劫持受信任用户向服务器发送非预期请求的攻击方式。通常情况下,C...
【网络安全】——客户端安全(浏览器安全XSSCSRFClickjacking
Veeupup博客
04-12 696
学习总结客户端安全的相关要素,包括浏览器安全,跨站脚本攻击(XSS),跨站点请求伪造(CSRF),点击劫持(Clickjacking),HTML5安全等。
WEB安全CSRF&ClickJacking
weixin_33991727的博客
09-30 177
一、CSRFCSRF的全名是Cross Site Request Forgery,即跨站点请求伪站。1、浏览器的cookie策略 很多***者伪造的请求之所以能在在服务器验证通过,是因为用户的浏览器成功发送了cookie的缘故。 浏览器所持有的cookie分为两种:一种是"Session Cookie",又称"临时Cookie";另一种是"Third-part...
xss攻击的手段
tumi
04-28 311
xss常用的攻击手段:1、盗用cookie获取敏感信息2、破坏正常页面结构3、利用DDoS(Distributed Denial of Service,分布式拒绝服务)攻击,目前最为强大也是最难防御的攻击之一...
XSS介绍及常用攻击手段
wuhuimin521的博客
04-15 926
 原地址:https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTM...
XSS漏洞常见攻击方式
天天学安全专属博客
10-08 4322
1.危害 都是通过js脚本来实现的浏览器内核版本也会影响到js代码的实现 1、钓鱼欺骗 2、网站挂马 3、身份盗用 4、盗取网站用户信息 5、垃圾信息发送 6、劫持用户Web行为 7、XSS蠕虫 2.原理 XSS 属于被动式的攻击。攻击者先构造一个跨站页面,利用script、、等各种方式使得用户浏览这个页面时,触发对被攻击站点的http 请求。此时,如果被攻击者如果已经在被攻击站点登录,就会持有该站点cookie。这样该站点会认为被攻击者发起了一个http 请求。而实际
Web安全的三个XSS-CSRF-CLICK攻防姿
11-01
本篇讨论的Web安全的三个攻防姿态主要聚焦于XSS(跨站脚本攻击)、CSRF(跨站请求伪造)、以及clickjacking(点击劫持/UI-覆盖攻击)。 XSS攻击是一种常见Web安全威胁,恶意攻击者通过将恶意脚本代码嵌入到Web...
常见Web 攻击方式有哪些,如何防御?
最新发布
程序员学习园地。
02-13 639
恶意脚本通过用户输入注入页面,分为存储型(数据库持久化)、反射型(URL参数注入)、DOM型(客户端脚本修改)以上方案需要根据具体业务场景组合使用,安全防御是持续过程而非一次性工作。建议建立SDL(安全开发生命周期)流程,从需求阶段开始考虑安全因素。:用户登录A站后访问B站,B站伪造A站请求进行转账等操作。:上传.php/.jsp等可执行文件获取服务器权限。:透明iframe覆盖诱导按钮,诱导用户点击。:虽然主要在后端,但前端需要做好第一道防线。
WEB2.0时代的渗透测试:XSSCSRF第三方内容劫持
WEB2.0下的渗透测试的主要攻击方式XSSCSRF、第三方内容劫持、Clickjacking等。XSSWEB2.0下的主要攻击方式之一,XSSweb1.0诞生,在web2.0时代出名。1996年就有人提到了这类攻击。1999年DavidRoss...
CSRF(跨站请求伪造)、XSS(跨站脚本攻击)、Click Jacking(点击劫持)的理解与处理
Front-End严黑C的博客
12-03 900
一、xss跨站脚本攻击(Cross Site Scripting) 如果网站带有评论功能并将评论内容直接存到服务器中,那么显示评论的时候就可能遭到之前恶意用户恶意评论的攻击 原理主要是通过在评论中输入html标签,如标签,就相当于往你的网页中嵌入了一段脚本 理论上,所有可输入的地方没有对输入数据进行处理的话,都会存在xss漏洞 例如在评论框中输入: &lt;script&gt;   while...
网络安全相关(CSRFXSS、SQL注入,Clickjacking
江江江洗河
07-16 345
CSRF攻击 CSRF攻击概述: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在...
XSS攻击详解
HackKong的博客
01-16 442
web安全的领域中,xss攻击是最常见的一种攻击方式。xxs攻击的全称是Cross Site Scripting即跨站脚本,当目标网站的目标用户浏览器渲染HTML文档的过程中,出现了不被预期的脚本指令并且执行的时候,xss攻击就发生了。总的来说,它是一种代码注入攻击,攻击者在目标网站注入恶意脚本,使其在用户的浏览器运行,利用这些恶意脚本,来盗取用户的敏感信息如cookie等,进而危害数据安全。1.盗用cookie,获取用户的敏感信息;
前端安全XSSCSRF攻击
公众号:前端充电宝
08-02 744
目录1. 什么是XSS ?1.1 概念1.2 攻击方式1.3 危害1.4 分类2. 如何防御XSS?2.1 设置HttpOnly2.2 输入检查2.3 输出检查3. 什么是CSRF ?3.1 概念3.2 攻击方式4. 如何防御CSRF?4.1 验证码4.2 验证Referer4.3 cookie设置sameSite4.4 添加token验证 1. 什么是XSS ? 1.1 概念 XSS,即 Cross Site Script,是指跨站脚本攻击,原本缩应该为CSS,但是为了层叠样式表(Cascading
前端XSS攻击CSRF攻击
weixin_44823731的博客
12-25 581
1.XSS攻击 XSS攻击:(Cross Site Scripting)跨站脚本攻击。在渲染DOM树的过程中执行了不在预期内的js代码,就发生了XSS攻击。 攻击样例:在一些博客网站,发表一篇文章的时候,在文章中加入<script>alert('XSS攻击')</script>这种用script标签包含着的js语句。发表成功之后,当别人访问你的这篇文章的时候,就会自动执行alert('XSS攻击')这段代码。这样就属于xss攻击。更严重的,就在script标签中,获取你的cookie
前端CSRF攻击
gzkahjl的博客
06-25 364
cross site request forhy(CSRF)跨站请求攻击 案例:诱导用户打开第三网站,进行攻击,例如: <body> hello,这里什么也没有。 <script> document.write(` <form name="commentForm" target...
【前端知识】浅谈XSSCSRF网络攻击
xiaobaizaza_Ry的博客
05-19 1758
【前端知识】浅谈XSSCSRF网络攻击 浏览器攻击是指恶意主体利用浏览器漏洞对用户浏览器进行非法修改、窃取敏感信息或者进行其他有害行为的一种攻击方式常见的浏览器攻击主要包括跨站脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)、DNS劫持攻击等。下面我们主要介绍两种典型的攻击方式——XSS攻击CSRF攻击。
前端的CSRF攻击XSS攻击
Alive_tree的博客
08-07 516
1、什么是CSRF攻击 CSRF即Cross-site request forgery(跨站请求伪造),是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 假如黑客在自己的站点上放置了其他网站的外链,例如"www.weibo.com/api ,默认情况下,浏览器会带着weibo.com的cookie访问这个网址,如果用户已登录过该网站且网站没有对CSRF攻击进行防御,那么服务器就会认为是用户本人在调用此接口并执行相关操作,致使账号被劫持。 2、如何防御CSRF攻击 1、验证Tok.
网络安全——常见的几种WEB攻击:
热门推荐
cosmos033的博客
10-25 1万+
  1.XSS攻击:指的是跨脚本攻击,指的是攻击者在网页中嵌套,恶意脚本程序,当用户打开网页时,程序开始在浏览器上启动,盗取用户的cooks,从而盗取密码等信息,下载执行木马程序。 解决方法:XSS之所以会发生,是因为用户输入的数据变成了代码。因此,我们需要对用户输入的数据进行HTML转义处理,将其中的“尖括号”、“单引号”、“引号” 之类的特殊字符进行转义编码。   2.CSRF攻击:C...
XSS盲打
Naive_boy00的博客
10-15 2702
XSS的查找:绕过过滤机制,利用服务端错误的编码方式例:url:http//www.foo.com/xss.php?id=1HTML标签之间<div>[输出]</div> //xsspayload:<script>alert(1)</script>标签之间无法执行脚本,要先闭合掉对应的标签。此类标签有:<title></title> <textarea></textarea> <xmp></xmp>
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值