XSS和CSRF

最新推荐文章于 2024-07-18 13:17:14 发布
最新推荐文章于 2024-07-18 13:17:14 发布
阅读量185 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ggaofengg/article/details/79882302
XSS:跨站脚本(Cross-site scripting) 强调方法

CSRF:跨站请求伪造(Cross-site request forgery) 强调效果

CSRF为跨站请求伪造,其与XSS有点类似,不过区别在于CSRF不一定依赖于JavaScript


其实二者是交叉的。


XSS:

XSS跨站脚本攻击过程最简单演示

https://blog.youkuaiyun.com/smstong/article/details/43561607

     https://www.cnblogs.com/lovesong/p/5199623.html

CSRF

攻击方法1:

A给B发一个网址,B打开后,会自动下载一个网页或脚本到电脑硬盘上。
B打开这个网页或脚本,这个网页或脚本就会访问硬盘里面的信息,并悄悄的把信息发给B

攻击方法2:
A的浏览器已经登录了自己的网银,或其它网站。
B发给A一个网址,A打开这个网址。
这个页面中的脚本向网银网址发送post转账请求。(即使网银网址不允许跨域访问,但是他还是会处理这个post请求,因为跨域访问,服务端是有相应的,只是浏览器发现服务端不支持跨域访问,就直接抛掉服务端发过来的应答消息)
预防方法1:银行服务端检查referer字段,看看post是不是从自己的网页发过来的。(B是否可以修改post消息中的referer字段?)
预防方法2:银行服务端每次生成一个随机值,放在在网页和cookie中。post请求时,必须把这两个值都带过来,且两个值相同,才认为网页是自己的。(B发出的post,cookie中的随机值是正确的,但是B不知道随机值是什么,所以只能瞎猜,猜中概率极低)

攻击方法3:
A网站的转账操作,是一个get消息

B网址中,可以写上 src=“转账url”,从而实现非法转账


今天尝试进行了一下CSRF攻击,每次发出的请求都没有被攻击网址的cookie

关键是要加上下面红色代码

function state_Change(){  
      if (xmlhttp.readyState==4)  
         console.log('99999999999', xmlhttp.status, xmlhttp.responseText);  

    } 

xmlhttp=new XMLHttpRequest();  

xmlhttp.withCredentials = true;//支持跨域发送cookies

xmlhttp.onreadystatechange=state_Change;  

xmlhttp.open("GET","http://127.0.0.1:5000/hello/",true);  
xmlhttp.send(null);

网络攻防之XSSCSRF
mplanning的博客
05-06 1187
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
XSS CSRF 攻击详解
AzulSystems的博客
03-03 2276
在 Web 安全领中,XSS CSRF 是最常见的攻击方式。简单的理解:XSS攻击:站脚本攻击。攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是站脚本攻击。
前端安全漏洞 XSSCSRF 异同
杏子
05-23 2742
前端安全漏洞 XSSCSRF 异同一、前言二、相同点三、区别 一、前言 前面有写过 前端安全漏洞之 XSS 与 前端安全漏洞之 CSRF 的文章,本着程序员开发宗旨低内聚的原则,这里另出一遍文章讲讲两者之间的相同点区别。 二、相同点 既然是前端安全漏洞,肯定就是前端脚本的攻击,主要都是通过 a 标签 iframe 标签的 href 属性,img 标签的 src 属性等途径进行攻击。 两...
XSSCSRF的区别以及解决方案。
Mingju's Blog
11-12 639
XSS站脚本攻击 站脚本攻击(Cross Site Scripting)缩写为CSS, 但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。 因此,有人将站脚本攻击缩写为XSS。 解释: 利用网站开发的漏洞,在用户请求的URL中加入XSS代码(Html,js,java等)作为参数传递给服务器,服务器端响应并执行。 后果: 成功后,攻击者可能会得到一些权限或者...
csrfxss攻击的详解与区别
热门推荐
wuhuagu_wuhuaguo的博客
02-02 1万+
一、csrf攻击 1.CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery):站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的...
XSS CSRF
培训班的蜗牛
11-05 944
感谢《码农翻身》的文章让我深刻记住这两种攻击方式。 1、《浏览器家族的安全反击战》 2、 《黑客三兄弟》 3、  《黑客三兄弟续》  下面是我的整理内容: 目录 矛与盾教量: 矛:利用js获取其他网站的cookie  盾:JS 同源策略 {protocol, host, port} 矛:JS 注入 盾:cookie 添加 HttpOnly 属性 禁止js 读取 矛:JS 假造...
XSSCSRF的简单了解
我在长安长安
05-24 790
XSS全称为站脚本攻击,其特点是不对浏览器造成任何伤害,而是通过一些正常的站内交互途径,例如在网站的URL中加入javascript脚本,或者在发布评论的时候,提交含有javascript的内容文本。这个时候如果服务器没有过滤掉这些文本,当这些内容发布到了页面上,则其他用户访问这个页面时就会运行这些嗯脚本了。运行预期之外的脚本带来的后果又很多,假如注入了一段严重的错误的javascript脚本,...
router_xss_csrf:具有XSSCSRF的安全路由器
03-05
具有XSSCSRF的安全路由器 下载文件“ .htaccess”,并将其放置在应用程序的根目录下。 通常,这是一个名为“ htdocs”或“ www”的文件夹。 下载文件“ router.php”,并将其放置在应用程序的根目录下。 通常,...
XSSCSRF攻击防御
qq_65665724的博客
07-18 1101
前端安全防护是每一位开发者不容忽视的责任。通过深入理解XSSCSRF攻击原理,结合输入验证、输出编码、启用CSP、使用Anti-CSRF Tokens、配置SameSite Cookie属性强制HTTPS等策略,我们可以有效抵御这两种常见攻击,保障用户数据安全网站稳定性。作为博主,我将持续分享前端安全领的知识与实践经验,助力广大开发者共建更安全的网络环境。
一篇文章读懂XSSCSRFSSRF的异同
weixin_44681434的博客
01-23 2029
写在前面 首先一起回顾一下这三种漏洞的定义 XSS是黑客通过“HTML”注入篡改网页,插入了恶意脚本,当用户在浏览网页时,实现控制用户浏览器行为的一种攻击方式。 CSRF是指利用用户已登录的身份,在用户毫不知情的情况下以用户的名义完成的操作; SSRF是指攻击者能够从易受攻击的web应用程序发送精心设计的请求包对其他网站进行攻击。 三者异同 XSSCSRF的相同点,它们都是利用浏览器发送数据包,而SSRF是在服务器上执行让服务器偷偷发送数据包;另外,CSRFXSS都会利用到Cookie,但CSRF是利用
xsscsrf的区别
晗的IT生活
04-09 388
XSS是什么?它的全名是:Cross-site scripting,为了CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击的主要目的则是,想办法获取目标攻击网站的cookie,因为有了cookie相当于有了seesion,有了这...
XSSCSRF的区别
weixin_42478365的博客
04-29 6343
1.CSRF CSRF(Cross-site request forgery):站请求伪造。 2.CSRF的攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件: (1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的时候,请求网站A的api接口时,会提示你登录) (2)在不登出A的情况下,访问危险网站B(其实是利用了网站A的漏洞)。 我们在讲CSRF时,一定要
总结 XSSCSRF 两种站攻击
peizhiinfo
11-24 858
XSS站脚本(Cross-site scripting) CSRF站请求伪造(Cross-site request forgery) 在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代,参数化查询已经成了普及用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS CSRF 却没有远离我们...
csrfxss的区别
a843538946的专栏
12-20 1306
csrf是不获取用户的cookie的,而xss是获取用户cookie的,从这一点,csrf更容易入侵。 csrf是让用户自己访问黑客发送的链接
前后端分离架构中的接口安全(下篇)
李熠专用博客_白帽子一枚,人称低危终结者
06-11 6068
接着上一篇,我们继续来讨论。 输入参数的合法性校验 一般情况下,客户端会进行参数的合法性校验,这个只是为了减轻服务端的压力,针对于普通用户做的校验,如果黑客通过直接调用接口地址,就可绕过客户端的校验,这时要求我们服务端也应该做同样的校验。 SpringMVC提供了专门用于校验的注解,我们通过AOP即可实现统一的参数校验,下面请看代码: <dependency> ...
CSRFXSS的关系与预防
MichaelAn的博客
08-18 1930
1.CSRF站伪造请求,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其进行防范的资源也相当稀少)难以防范,所以...
XSSCSRF(XSRF)对比思考
软件生命周期中的攻防博弈
08-27 3423
(学习笔记,个人总结,不足之处请多多指导。) XSSCSRF有很多相似也有很多不同。相似的是他们都能实现身份盗用(冒充),用户信息盗用(盗号)等,不同之处总结如下: 1. 原理不同 XSS攻击基于HTML注入+社会工程学(欺骗用户点击执行恶意代码)实现攻击; CSRF攻击源于WEB隐式身份验证机制,在浏览网页(或其他操作)时自动完成;        这种机制可以验证
关于反序列化漏洞的一些理解
才不是小弱鸡的博客
09-16 9706
  php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __construct, __destruct, __toString, __sleep, __wakeup等等。这些函数在某些情况下会自动调用,比如__construct当一个对象创建时被调用,__destruct当一个对象销毁时被调用,__toString当一个对象被当作一个字符串使用。为了更好的...
XSSCSRF的区别
最新发布
07-03
<think>首先,用户的问题是:“我想了解XSSCSRF的区别请问XSSCSRF的区别是什么”。这是一个关于网络安全的问题,我需要基于提供的引用内容来回答。 参考的引用内容: -引用[1]:解释了XSSCSRF的区别。存储型XSS不需要手动触发,而反射型DOM型需要。XSS的防范措施包括编码、过滤校正。CSRFXSS的区别在于:CSRF需要用户登录获取cookie,XSS不需要;CSRF利用网站漏洞请求API,XSS注入JS代码篡改内容。 -引用[2]:强调XSS可以拿到cookie,CSRF只能借用登录态;XSS篡改页面内容控制浏览器行为,CSRF伪造用户请求。-引用[3]:提到CSRF攻击可以存储在网站上,类似于存储型XSS,通过存储攻击放大风险。 -引用[4]:定义XSS站脚本攻击,将恶意JS代码插入Web页面执行。 用户的问题是询问区别,所以我需要总结这些引用内容,清晰地比较XSSCSRF。系统级指令:1.行内数学表达式用$...$格式,但这个问题是关于网络安全的,可能没有数学表达式,所以可能不需要。如果有变量或公式,用正确格式。2.独立公式用$$...$$单独成段,同样,可能不适用。 3. LaTeX语法正确。4.使用中文回答。 5.生成相关问题。在回答末尾添加相关问题。6.回答中引用的段落末尾自然地添加引用标识,如[^1]。 用户可见层指令:回答结构清晰,逐步解决问题,保证真实可靠。参考站内引用。所以,结构应该:-先介绍XSSCSRF是什么。 -然后比较它们的区别,包括攻击方式、目标、影响等。 -最后添加防范措施或总结。 -结束时生成相关问题。引用标识:在回答中,当引用具体内容时,在末尾添加[^1]、[^2]等。 例如,如果我说“XSS攻击不需要用户登录”,这来自引用[2],就在末尾加[^2]。现在,整理关键点:- **XSS(Cross-SiteScripting)**:-攻击者注入恶意脚本到Web页面。-当用户浏览页面时,脚本执行。-类型:存储型(不需要手动触发)、反射型(需要手动触发)、DOM型(基于DOM操作)。-影响:篡改页面内容、窃取cookie、控制用户浏览器。-防范:编码输入、过滤危险属性、校正HTML。- **CSRF(Cross-SiteRequest Forgery)**:-攻击者伪造用户请求,利用用户的登录态。-需要用户已登录目标网站。-攻击方式:发送伪造请求,如通过图片标签或表单提交。-影响:执行非用户本意的操作,如转账、修改设置。-防范:使用CSRF tokens、检查Referer头、SameSite cookies。 区别: 1. **攻击目标**:-XSS:针对用户浏览器,篡改内容或窃取信息。- CSRF:针对服务器,伪造用户请求执行操作。 2. **登录要求**:-XSS:不需要用户登录[^2]。- CSRF:需要用户已登录并获取cookie[^1][^2]。3.**执行方式**:- XSS:注入执行JS代码在用户端。- CSRF:伪造HTTP请求,利用浏览器自动发送cookie。4.**获取信息能力**:-XSS:可以读取cookie敏感信息[^2]。-CSRF:只能借用登录态,不能直接读取cookie[^2]。5.**触发方式**:- XSS:存储型不需要手动触发,反射型DOM型需要[^1]。- CSRF:通常通过用户访问恶意页面或点击链接触发。 防范措施:- XSS:输入编码、过滤脚本标签事件属性[^1]。- CSRF:使用CSRF tokens、验证Referer、SameSite属性[^1][^3]。回答结构: 1. **介绍XSSCSRF**:简要定义。2.**详细比较区别**:列出关键点。3.**防范措施**:简要提及。 4. **生成相关问题**:在末尾添加。使用中文回答。 确保引用:当使用引用内容时,在句子末尾加[^1]等。例如:"XSS攻击不需要用户登录[^2]。"相关问题:基于主题,如XSS的类型、CSRF的防范、实际案例等。</think>### XSSCSRF的区别分析 XSS(Cross-Site Scripting,站脚本攻击)CSRF(Cross-Site Request Forgery,站请求伪造)是两种常见的网络安全威胁,但它们在攻击原理、目标影响上有显著差异。下面我将基于可靠引用内容,逐步解释它们的核心区别,帮助您清晰理解。 #### 1. **基本定义** - **XSS攻击**:攻击者通过在Web页面中注入恶意JavaScript代码,当用户浏览该页面时,这些代码会被执行,从而篡改页面内容、窃取用户信息或控制用户浏览器。例如,存储型XSS将恶意脚本存储在服务器数据库中(如评论字段),用户访问时自动触发;反射型XSSDOM型XSS则需要用户手动触发(如点击恶意链接)[^1][^4]。 - **CSRF攻击**:攻击者伪造用户的HTTP请求,利用用户已登录目标网站的“信任状态”(如cookie),诱使用户浏览器在不知情下发送请求,执行非用户本意的操作(如转账或修改密码)。CSRF不直接窃取数据,而是借用用户的登录态来操作服务器端资源[^1][^2]。 #### 2. **核心区别** 下表总结了XSSCSRF的关键差异点,便于快速对比: | 比较维度 | XSS攻击 | CSRF攻击 | 引用来源 | |------------------|------------------------------------------|-------------------------------------------|----------| | **攻击目标** | 针对用户浏览器端,篡改页面内容或控制用户行为 | 针对服务器端,伪造用户请求执行操作 | [^1][^2] | | **登录要求** | 不需要用户登录目标网站(可直接注入代码) | 必须用户已登录并持有有效cookie(依赖登录态) | [^1][^2] | | **信息获取能力** | 能直接读取cookie、会话信息等敏感数据 | 无法获取cookie,只能“借用”登录态发起请求 | [^2] | | **攻击原理** | 注入并执行恶意脚本(如通过`<script>`标签) | 伪造请求(如通过`<img>`或表单提交触发) | [^1][^4] | | **触发方式** | 存储型无需手动触发;反射型DOM型需用户交互 | 通常需用户访问恶意页面或点击链接触发 | [^1][^3] | | **典型影响** | 窃取用户数据、劫持会话、篡改UI | 执行非用户本意操作(如转账、修改账户设置) | [^2][^3] | 例如: - XSS攻击中,攻击者可能注入代码`<script>alert('XSS!')</script>`,用户访问时弹出恶意警告[^4]。 - CSRF攻击中,攻击者可能构造一个隐藏的`<img src="https://bank.com/transfer?amount=1000&to=attacker">`标签,用户访问该页面时自动发送转账请求[^3]。 #### 3. **防范措施差异** - **XSS防范**:主要依赖前端防护: - **编码**:对用户输入的数据进行HTML或JavaScript编码(如将`<`转换为`<`),防止代码注入[^1]。 - **过滤**:移除用户输入中的危险属性(如`onerror`、`onclick`)标签(如`<script>`、`<iframe>`)[^1]。 - **校正**:使用DOM解析器校正不配对的HTML标签,避免直接解码HTML实体[^1]。 - **CSRF防范**:侧重服务器端验证: - **CSRF tokens**:服务器生成唯一token嵌入表单或cookie,请求时验证token匹配性[^3]。 - **Referer检查**:验证HTTP Referer头是否来自可信源[^3]。 - **SameSite cookies**:设置cookie的SameSite属性为Strict或Lax,限制站请求[^2]。 #### 总结 XSSCSRF的最大区别在于:XSS是“代码注入攻击”,目标是用户浏览器,能直接窃取信息;而CSRF是“请求伪造攻击”,目标是服务器,依赖用户登录态执行操作但无法获取敏感数据[^2][^3]。理解这些差异有助于开发者针对性地实施防护措施。例如,存储型XSS可通过自动化扫描工具检测,而CSRF防御需结合token机制浏览器策略[^1][^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值