JS 前端常见的攻击

最新推荐文章于 2025-10-25 11:37:40 发布
原创 最新推荐文章于 2025-10-25 11:37:40 发布 · 2.8k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了前端常见的安全攻击,包括XSS、CSRF和网络劫持,解释了它们的工作原理,并提出了相应的防护措施,如检查Referer字段、添加校验token和使用HTTPS。

前端安全问题一直是面试经常问到的问题,也是我们平时建站会遇到的问题,今天来记录一下前端安全方面的相关知识。

前端经常遇到的攻击有

  • XSS
  • CSRF
  • 网络劫持
  • 控制台注入

XSS攻击(跨站脚本攻击)

问题:

简单来说,XSS指的就是代码注入,它利用的是html的一些漏洞来进行注入脚本,比如插入一个script标签<script>,或者直接进行页面弹窗,更有可能通过你的input获取的数据库中的内容。如:

<div>注入了一个script<script type="type/javascript" src="恶意网站"></script></div>

通过上面的注入代码就会让用户在无意间携带cookie到恶意网站上,从而泄露信息。

应对:

最直接的方法就是将一些敏感的标签进行转义,如:空格、<>

htmlEncodeByRegExp:function (str){
var s = "";
  if(str.length == 0) return "";
  s = str.replace(/&/g,"&");
  s = s.replace(/</g,"<"); s = s.replace(/>/g,">");
  s = s.replace(/ /g," ");
  s = s.replace(/\'/g,"'");
  s = s.replace(/\"/g,""");
  return s;
}

当然,以上只是最基本的防范XSS攻击,这里不深入讨论。

最低0.47元/天 解锁文章
CSRF-跨站点请求伪造
oscar999的专栏
10-27 937
CSRF, 全写是Cross-Site Request Forgery(跨站请求伪造)。指的是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作
flask中的csrf防御机制
FreeSpider
07-17 2228
csrf概念 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击...
小白也能看懂的JavaScript安全漏洞——XSS,CSRF等攻击的全面解析
最新发布
zhengfei611的博客
10-25 822
JavaScript 是一种高级的、解释型的编程语言");// 输出到控制台- 轻量级、解释型语言- 支持面向对象、函数式编程- 主要用于网页交互- 现在也可用于服务端(Node.js)
CSRF--跨站点请求伪造
weixin_44940180的博客
08-11 258
原理 攻击者盗用身份以用户名义发送恶意请求 可能用到的标签 <link href=" "> <img src=" "> <iframe src=" "> <script src=" "> csrf与xss的区别 GET 分析源码可以看出来检查了 HTTP_REFERER中是否包含SERVER_NAME 所以不能随意构造一个URL诱使管理员点击 所以,我们可以将攻击页面命名为192.168.3.3.html就可以绕过了 原本数据库中管理员的密码为
跨站点伪造请求 (CSRF)
KerryRuan的专栏
04-06 884
“跨站点伪造请求 (CSRF)”攻击可让黑客以受害者的名义在易受攻击的站点上运行操作。当易受攻击的站点未适当验证请求来源时,便可能出现这个攻击。  这个漏洞的严重性取决于受影响的应用程序的功能,例如,对搜索页面的 CSRF 攻击,严重性低于对转帐页面或概要更新页面的 CSRF 攻击。  这项攻击的执行方式,是强迫受害者的浏览器向易受攻击的站点发出 HTTP 请求。如果用户目前已登录受害
CSRF(Cross-Site Request Forgery) 跨站请求伪造
Eason_LYC安全白帽子的成长博客
05-13 1946
WEB安全中CSRF漏洞攻击最为全面的知识点总结,直击核心知识点,将零散的知识汇总梳理。为深入学习CSRF打下良好基础!
WEB前端常见攻击方式及解决办法总结
10-15
【WEB前端常见攻击方式及解决办法】 WEB前端的安全问题不容忽视,因为它直接影响到用户的个人信息安全和网站的正常运行。本文主要关注四种常见攻击方式及其防范措施:SQL注入、跨站脚本攻击(XSS)、跨站请求...
常见前端攻击与防范
adobe2333的博客
08-25 639
1.什么是 XSS 攻击?如何防范 XSS 攻击? XSS 攻击指的是跨站脚本攻击,是一种代码注入攻击攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。 XSS 一般分为存储型、反射型和 DOM 型。 存储型指的是恶意代码提交到了网站的数据库中,当用户请求数据的时候,服务器...
HTML5前端常见攻击方式案例讲解!
xiaoxijinger的博客
06-08 596
相信很多从事前端技术岗的人员,工作中最害怕的就是一个系统受到外界的攻击,在外界的攻击下很多前端技术人员在找解决方法的时候是非常费力的,这个时候就会想如果说有类似的案例和解决的方法的话就好了。所以今天小编就给大家整理一篇关于HTML前端常见攻击方式案例,在受到攻击的时候有案例可寻。 1.DoS攻击------常见的具有破坏性的安全性问题(如果是分布式攻击的话就是DDos攻击) 攻击方式:Ping Flood攻击即利用ping命令不停的发送的数据包到服务器。 2.DNS缓存污染------常见的网站不可访问
7 种常见前端攻击
w807139809的博客
10-22 1912
大家都知道,保证网站的安全是十分重要的,一旦网站被攻陷,就有可能造成用户的经济损失,隐私泄露,网站功能被破坏,或者是传播恶意病毒等重大危害。所以下面我们就来讲讲7 种常见前端攻击。1. 跨站脚本 (XSS) 2. 依赖库风险 3. 跨站请求伪造 (CSRF) 4. 点击劫持 (Clickjacking) 5. 内容交付网络 (CDN) 劫持 6. HTTPS 降级 7. 中间人攻击
攻击与漏洞】-CSRF跨站点请求伪造
vector的博客
03-03 1141
CSRF(crossing-site request forgery)攻击有两个重点 目标用户已经登录了网站,能够执行网站的功能 目标用户访问了攻击者伪造的URL 因为这个url是伪造的,所以叫做跨站点请求伪造 CSRF实验 在bp中使用generate CSRF Poc https://blog.youkuaiyun.com/qq_39328436/article/details/114335137 CSRF与XSS的区别 CSRF并没有盗用用户权限,只是诱导用户点击某个链接达到非法目的 X.
js脚本攻击大全
07-18
js脚本攻击大全,各种JS脚本代码,防止js注入
跨站点请求伪造
genshengxiao的专栏
08-31 497
跨站点请求伪造,Cross Site Request Forgery, 缩写为CSRF或XSRF     定义: 在用户登录认证本站点之后,攻击者诱使用户点击其他站点的页面,该页面会在用户不知情的情况下,发送一些与本站点相关的恶意请求,从而达到攻击的目的。
跨站请求伪造CSRF
浪漫鼠
05-27 3285
以下转自:http://www.cnblogs.com/dolphinX/p/3403520.html CSRF是Cross Site Request Forgery的缩写,乍一看和XSS差不多的样子,但是其原理正好相反,XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。 在XSS危害——session 劫持中我们提到了session原理,用户登录后会把登录信息存放在
跨站点请求伪造(CSRF)
壮乡码农
12-07 2241
一、CSRF是什么? 通过浏览器冒充用户身份向服务器发送伪造请求并成功执行 二、攻击原理 1、用户正常登入受信任的网站A,输入账号密码登入 2、登入成功网站返回Cookie 3、用户未退出的网站,访问网站B 4、网站B接收到请求,返回恶意代码。并发出一个请求访问站点A 三、 CSRF的危害 CSRF工具特: 攻击时机: Cookie没有过期, 攻击前提: 了解网站接口 攻击难度:大于XSS 危害:修改密码、转账、删除数据 四、如何防护 1、referer校验 ...
Web安全 - 跨站点请求伪造CSRF(Cross Site Request Forgery)
小工匠
09-29 5831
CSRF (Cross-Site Request Forgery,跨站请求伪造) 是一种攻击方式,攻击者诱导用户在不知情的情况下发起非授权的请求。例如,用户在登录某个站点后,攻击者通过社交工程等手段诱使用户点击包含恶意请求的链接,利用用户已登录的状态,发起用户意图之外的操作,如转账、修改账户设置等。:在每次受保护的请求中,服务器生成一个唯一的CSRF Token,注入到表单或请求头中。:对于敏感操作,可以要求用户进行额外的身份验证,如验证码或短信验证,防止攻击者即便利用用户的认证状态,也无法完成关键操作。
前端安全防护:esapi4js-0.1.2实现XSS攻击防御
esapi4js是一个前端JavaScript安全库,用于帮助开发者防御XSS攻击和其他类型的代码注入攻击。该库封装了输入数据清理、输出数据编码等功能,能够为前端应用提供一个安全的编程接口。通过使用esapi4js,开发者可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值