XSS与CSRF(XSRF)对比思考

最新推荐文章于 2025-07-12 20:28:36 发布
原创 最新推荐文章于 2025-07-12 20:28:36 发布 · 3.4k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XSS #attack #XSRF #CSRF

本文对比分析了XSS(跨站脚本攻击)和CSRF(跨站请求伪造)的原理和应用场景。XSS利用HTML注入欺骗用户执行恶意代码,而CSRF则通过WEB隐式身份验证机制,在用户未审核的情况下发起攻击。XSS通常在用户在同一网站操作时发生,而CSRF发生在用户登录网站A后访问不安全的网站B时。XSS攻击中,攻击者获取用户身份后继续操作,而CSRF中,攻击者直接促使浏览器发起攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

(学习笔记,个人总结,不足之处请多多指导。)


XSS(Cross Site Scripting)跨站脚本攻击

CSRF/XSRF(Cross-site request forgery):跨站请求伪造


XSS和CS

最低0.47元/天 解锁文章

200万优质内容无限畅学
网络攻防之XSSCSRF
mplanning的博客
05-06 1188
一、XSS攻击 1.1 XSS攻击简介 通过利用网页开发时留下的漏洞,恶意攻击者往Web页面里插入恶意 Script代码,当用户浏览时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 XSS全称是:跨站脚本攻击(cross site script)。按照国际惯例,命名应该以CSS命名,但是CSS大家熟知的层叠样式表(Cascading Style Sheets)重名了,因此取名为XSS。 1.2 XSS攻击危害 据近些年OWASP(OWASP是世界上最知名的Web安全数据库安
XSSCSRF攻击以及预防手段
南栀的博客
03-12 5055
文章目录XSS反射型持久型DOM型XSS如何防御?CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。 恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。 比如获取用户的 Cookie、导航到恶意网站、携带木马等。 攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。 有很多种方式进行 XSS 攻击,但它
XSS攻击CSRF攻击及其区别
meimeib的博客
07-16 2074
XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式) 持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台)。 XSS虽然不是什么新鲜玩意,但
关于两种网络攻击方式XSSCSRF
最新发布
2301_81854535的博客
07-12 783
场景请求发起方携带的Cookie是否允许用户在A网站点击按钮A网站的JS代码A网站的Cookie✅ 同源请求用户在B网站触发对A的请求B网站的HTML标签A网站的Cookie⚠️ 默认允许(SameSite未限制时)B网站JS读取A网站的CookieB网站的JS代码无❌ 同源策略禁止访问简单比喻:你(用户)在邮局(A网站)办了业务,获得一个专属印章(Cookie)。后来你去商场(B网站),商场里的人偷偷在你包里塞了一封寄给邮局的信(恶意请求)。
浅谈csrf/xsrf
afunyusong的专栏
04-11 552
http://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
xss,csrf,xsrf
lin_fightin的博客
03-03 520
Xss跨站脚本攻击(Cross Site Scripting) 原理: HTML是一种超文本标记语言,通过将一些字符特殊地对待来区别文本和标记,例如,小于符号(<)被看作是HTML标签的开始,之间的字符是页面的标题等等。 当动态页面中插入的内容含有这些特殊字符(如<)时,用户浏览器会将其误认为是插入了HTML标签,当这些HTML标签引入了一段JavaScript脚本时,这些脚本程序就将会在用户浏览器中执行 所以,当这些特殊字符不能被动态页面检查或检查出现失误时,就将会产生XSS漏洞。 案例
CSRF/XSRF概述
weixin_38597669的博客
06-03 4430
本文主要叙述了CSRF产生的原因,危害和预防方法!!
XSSCSRF、SSRF
网络安全知识分享
09-22 8830
XSSCSRF、SSRF相同不同修复方式面试题: 相同不同 相同点: XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 相同点: XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点: XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的脚本语句被执行。 CSRF(跨站请求伪造)是服务器端没有对用户
Web开发中的 XSSCSRF/XSRF、CORS
weixin_45678031的博客
06-09 663
XSS 跨站脚本攻击 向正常网站的表单中注入恶意脚本代码,窃取网站私有内容,比如窃取cookies、localstorage、sessionstorage的内容。 防御策略 设置cookies为HttpOnly 使cookie不可被js读取操作。 CSRF/XSRF 跨站请求伪造 诱导用户在恶意网站内点击链接,链接请求正常网站的功能业务,会自动携带正常网站的cookies,在用户不知情的情况下完成一些操作。 防御策略 健强服务端逻辑,严格restful风格,可以防御一些低端的攻击。 利用请求头中的refe
web安全之CSRFXSRF)浅析
LQ55
10-11 2288
CSRF(XSRF)是什么? CSRF (cross-site request forgery),中文的名称:跨站请求伪造,也被称为:one click attack/ session riding,缩写为:CSRF/XSRFCSRF(XSRF)可以做什么? CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括,以你的名义发送邮件,发消息,盗取你的账号,甚
前端安全漏洞 XSS CSRF 异同
杏子
05-23 2745
前端安全漏洞 XSS CSRF 异同一、前言二、相同点三、区别 一、前言 前面有写过 前端安全漏洞之 XSS 前端安全漏洞之 CSRF 的文章,本着程序员开发宗旨低内聚的原则,这里另出一遍文章讲讲两者之间的相同点和区别。 二、相同点 既然是前端安全漏洞,肯定就是前端脚本的攻击,主要都是通过 a 标签和 iframe 标签的 href 属性,img 标签的 src 属性等途径进行攻击。 两...
简述XSSCSRF的概念和区别
繁星流动天际
03-17 317
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的敏感信息,此时用户C...
csrfxss攻击的详解区别
wuhuagu_wuhuaguo的博客
02-02 1万+
一、csrf攻击 1.CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery):跨站请求伪造。 2.CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。从上图可以看出,要完成一次CSRF攻击,受害者必须满足两个必要的条件:(1)登录受信任网站A,并在本地生成Cookie。(如果用户没有登录网站A,那么网站B在诱导的...
渗透测试-一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御
lza20001103的博客
08-25 3841
一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御 文章目录一文读懂XSSCSRF、SSRF、XXE漏洞原理、应用、防御一、相同点不同点相同点不同点XXE漏洞二、防御1、XSS2、CSRF3、SSRF4、XXE三、面试题 一、相同点不同点 相同点 XSSCSRF,SSRF三种常见的Web服务端漏洞均是由于,服务器端对用户提供的可控数据过于信任或者过滤不严导致的。 不同点 XSS是服务器对用户输入的数据没有进行足够的过滤,导致客户端浏览器在渲染服务器返回的html页面时,出现了预期值之外的
XSS 攻击CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 2078
XSS 攻击CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):跨域脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
XSSCSRF、SSRF漏洞原理以及防御方式_xss csrf ssrf
VN520的博客
03-25 1779
XSS(Cross Site Scripting):跨域脚本攻击
XSSCSRF区别防范
热门推荐
初夏0811的博客
04-22 2万+
XSS即Cross-Site-Scripting,跨站脚本攻击,为了不和前端开发者中的层叠样式表(CSS)的名字冲突,故简称XSSCSRF即Cross-Site Request Forgery,跨站请求伪造。 CSRF有别于XSS,从攻击效果上,两者有重合的地方。从技术原理上看两者有本质的不同,XSS是在正常用户请求HTML页面中执行黑客提供的恶意代码;CSRF是黑客直接盗用用户浏...
XSSCSRF的概念和区别
定格空间
07-15 458
XSS 全称Cross Site Scripting,名为跨站脚本攻击,黑客将恶意脚本代码植入到页面中从而实现盗取用户信息等操作。 常见的攻击情景: 1、用户A访问安全网站B,然后用户C发现B网站存在XSS漏洞,此时用户C向A发送了一封邮件,里面有包含恶意脚本的URL地址(此URL地址还是网站B的地址,只是路径上有恶意脚本),当用户点击访问时,因为网站B中cookie含有用户的敏感信息,此时用户C就可以利用脚本在受信任的情况下获取用户A的cookie信息,以及进行一些恶意操作。 这种攻击叫做反射性XSS
【WEB安全】XSSXSRF介绍及防御手段
及时行乐
10-11 801
XSS 跨站脚本攻击(cross site scripting) XSS攻击分为:反射型、存储型、DOM型 反射型 利用页面缺陷,执行脚本,从而获取用户信息。 比如:页面获取用户输入信息(用户输入),服务端未经过字符串转义或处理,直接返回到客户端。 浏览器就很容易受到XSS攻击,比如可以在页面添加脚本,把用户Cookie信息发送到黑客服务器上。这样黑客就可以获得用户登录态,进行模拟登陆。 存储型 ...
理解XSSCSRF:网站安全的威胁防护
在网站安全领域,理解并防范XSS(跨站脚本)和XSRF(跨站请求伪造)攻击至关重要。这些攻击都是基于浏览器的信任机制,即浏览器认为同一来源的页面是安全的,允许它们共享数据。然而,这种信任也成为了攻击者利用的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值