CSRF和XSS攻击详解及区别

最新推荐文章于 2025-04-19 17:44:02 发布
最新推荐文章于 2025-04-19 17:44:02 发布
阅读量1.1k 收藏 25
点赞数 31
文章标签: csrf xss 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_63512120/article/details/136223831
版权
本文详细介绍了CSRF攻击利用已登录用户身份进行欺骗请求的过程,以及XSS攻击通过网页注入恶意脚本的类型和防御方法。重点讨论了CSRF与XSS的区别,以及如何通过CSRFToken、Referer头验证、双重提交cookie等手段来防止这两种常见攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CSRF攻击

CSRF(Cross-Site Request Forgery)攻击是一种利用用户已登录的身份,欺骗用户在未经其同意的情况下对某个站点发起请求的攻击方式。攻击者利用用户在其他站点中的登录状态,通过伪造请求,使用户在不知情的情况下执行了恶意操作。

攻击过程:

  1. 用户在浏览器中登录了一个受信任的网站A,并且保持了登录状态,使得浏览器保存了该站点的身份认证信息(比如Cookie)。
  2. 用户在同一浏览器中访问了一个恶意网站B,该网站中包含了针对网站A的CSRF攻击代码。
  3. 恶意网站B中的代码会自动向网站A发送伪造的请求,比如修改用户信息、发起转账等操作。
  4. 浏览器默认会自动发送之前保存的网站A的身份认证信息(比如Cookie)给网站A,而用户在不知情的情况下执行了这些恶意操作。
  5. 攻击者成功利用了用户在网站A中的身份认证信息,完成了攻击目标。

防御方法:

  1. 使用CSRF Token:在每个请求中添加一个随机生成的Token参数,并在服务器端进行验证。攻击者无法伪造该Token,因此可以有效地防止CSRF攻击。
  2. 检查Referer头:浏览器在发送请求时会自动添加Referer头,用于标识该请求是从哪个页面发起的。服务器可以检查Referer头,确定该请求是否来自合法的来源,从而防止CSRF攻击。
  3. 双重提交cookie:在用户登录时,在Cookie中添加一个随机生成的Token,并在每
最低0.47元/天 解锁文章
网络攻防之XSSCSRF
mplanning的博客
05-06 1175
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS与大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全与数据库安
XSS CSRF 攻击详解
AzulSystems的博客
03-03 2247
在 Web 安全领域中,XSS CSRF 是最常见的攻击方式。简单的理解:XSS攻击:跨站脚本攻击攻击者脚本 嵌入 被攻击网站,获取用户cookie等隐私信息。CSRF攻击:跨站请求伪造。已登录用户 访问 攻击者网站,攻击网站向被攻击网站发起恶意请求(利用浏览器会自动携带cookie)。XSS===XSS,即 Cross Site Script,中译是跨站脚本攻击
CSRFXSS区别
weixin_44475084的博客
03-23 1472
CSRF CSRF的基本概念、缩写、全称攻击原理防御措施如果把攻击原理防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图...
深入理解前端安全:CSRFXSS攻击详解
最新发布
m0_46335150的博客
04-19 1773
CSRF(Cross-Site Request Forgery,跨站请求伪造),听起来像个高大上的术语,但其实它就是恶搞用户的日常操作。攻击者通过引诱已认证用户访问恶意网站,利用用户的身份发起未授权请求。结果?用户可能会无意中执行一些危险操作,比如转账、修改密码等。XSS(Cross-Site Scripting,跨站脚本攻击)就像是Web页面上的“病毒”,攻击者通过注入恶意脚本到网页,借此窃取数据或执行不法行为。不同于CSRF,它直接攻击浏览器环境,让用户的浏览器成为攻击的“战场”。
XSS攻击CSRF攻击及其区别
meimeib的博客
07-16 2066
XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式) 持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台)。 XSS虽然不是什么新鲜玩意,但
XSS攻击CSRF攻击
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
前端系统复习之安全篇
李天下
09-04 292
CSRF CSRF的基本概念、缩写、全称 攻击原理 防御措施 如果把攻击原理防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发co...
网络安全中CSRFXSS攻击及其防护措施详解
03-17
内容概要:本文主要介绍了两种重要的网络攻击手段——CSRF(跨站请求伪造)XSS(跨站脚本攻击)。首先阐述了CSRF的定义、形成机制以及防范办法,其中包括设置Cookie属性SameSite值为严苛级别或者验证来源请求头部...
XSSCSRF 攻击——有什么区别,如何加以防护
HoewDec的博客
04-03 1998
在站点上存储攻击会放大攻击的严重性可能性,因为受害者用户现在肯定会查看CSRF加载的页面,并且也会自然地对该页面进行身份验证。CSRF 攻击利用 Web 应用程序中的一个安全漏洞,该漏洞无法区分经过身份验证的用户会话中的错误请求合法请求。这种攻击迫使不知情的用户登录到黑客控制的帐户。在存储式跨站攻击中,注入的恶意代码被永久地存储在易受攻击的web应用程序的不同组件中,如数据库、评论字段、访客日志、消息论坛等。三、CSRF攻击的范围有限,仅限于用户可以执行的操作,例如点击恶意链接或访问黑客的网站。
XSSCSRF 攻击你了解多少呢
yinzhixiaxue的博客
02-17 782
例如,网页中存在一段 JavaScript 代码,它根据 URL 参数动态修改页面元素的 innerHTML 属性,攻击者可构造恶意 URL,使得该代码在处理 URL 参数时,将恶意脚本插入到 innerHTML 中,从而在浏览器渲染页面时执行恶意脚本。此外,结合请求的时间戳、用户行为模式等信息,建立动态的请求来源验证模型,提高验证的准确性与可靠性。当用户在已登录状态下,访问恶意网站时,恶意网站通过精心构造的请求,诱使浏览器自动携带用户在目标网站的身份认证信息(如 Cookie),向目标网站发送请求。
CSRF攻击XSS攻击
hu_lanlan的博客
10-16 668
CSRF(Cross-site request forgery):跨站请求伪造攻击者盗用了用户的身份,以用户的名义发送恶意请求,包括:以用户的名义发送邮件,发消息,盗取用户账号。防止措施:(1)检查报文中的Referer参数,确保请求发送自正确的网站。(2)对于任何重复的请求,都需要重新验证用户的身份。(3)创建一个唯一的令牌(Token),将其存在服务端的session中以及客户端的cookie中
Web安全攻防之CSRF攻击XSS攻击区别
读万卷书,行万里路。
01-27 507
反射型XSSCSRF的相同点: 都需要用户点击链接,访问恶意构造的链接。 反射型XSSCSRF的不同点: XSS偏向于代码执行。代码可以被黑客构造,能够实现复杂的功能,更加的危险。 CSRF则偏向于结果。通常情况是利用系统自带的功能来实现黑客想要达到的结果,比如刷访问量、发布文章。 XSS也能实现CSRF的功能,不过能GetShell,你会只用来刷访问量?(逃???? 参考教程: 用大白话谈谈XSSCSRF:https://segmentfault.com/a/119000000705963
XSSCSRF攻击与防范
dd20523417844009的博客
09-22 292
一、XSS攻击   XSS攻击全称跨站脚本攻击,是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或者 JavaScript 进行一种攻击攻击者编写脚本设下陷阱,用户在自己的浏览器上运行时,一不小心就会受到被动攻击。   例子:如果A用户评论 [hello world] 提交到服务器,B用户看到这条评论的时候一切正常。但如果C用户评论 [<script&...
csrfxss攻击详解区别
热门推荐
wuhuagu_wuhuaguo的博客
02-02 1万+
一、csrf攻击 1.CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的...
XSS攻击CSRF攻击
Geolias的博客
07-14 673
CSRF攻击 CSRF攻击介绍 CSRF(Cross-site request forgery):跨站请求伪造。 简易理解:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。 原理 1. 用户C打开浏览器,访问受信任网站A,输入用
用大白话谈谈XSSCSRF
weixin_34129696的博客
10-01 199
这两个关键词也是老生常谈了,但是还总是容易让人忘记与搞混~。XSSCSRF这两个关键词时常被拉出来一起比较(尤其是面试),我在这里也在写一篇扫盲文,也帮自己整理一下知识脉络。 这篇文章会用尽量“人话”的语言解释这二个关键词,让同学们对跨域,安全有更深一层次的了解。 国际惯例,先上一下维基百科: XSS:跨站脚本(Cross-site s...
CSRFXSS
hcy48的博客
10-06 584
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html 讲的CSRF不错,简单易懂http://www.cnblogs.com/easytools/archive/2012/06/01/2529350.html 讲CSRFXSS区别,简单一段文字XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值