CSRF与XSS攻防知识点总结

XSS与CSRF:浏览器安全攻防解析
最新推荐文章于 2025-12-04 22:56:41 发布
原创 最新推荐文章于 2025-12-04 22:56:41 发布 · 281 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#csrf #xss #前端

本文详细介绍了XSS和CSRF两种常见的网络安全威胁。XSS攻击涉及在网页中植入恶意代码,危害包括盗取信息和非法操作,其类型有反射型、存储型和DOM型。防御措施包括数据过滤和使用HTTPOnlycookie。而CSRF攻击则利用用户身份发起恶意请求,危害如账号盗窃,防御方法包括使用POST请求、验证码和CSRFToken。

本章节将用于详细总结记录,跨站脚本攻击XSScross site script)与 跨站请求伪造CSRFcross site request forgery)这两种常见的浏览器安全的攻防手段。本章节会介绍两种攻击的概念,以及相关手段有哪些,以及对应的防御手段:

  • 跨站脚本攻击XSScross site script
  • 跨站请求伪造CSRFcross site request forgery

跨站脚本攻击XSS

1、概念:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端JS脚本。

2、主要危害:盗取账号、窃取资料、非法转账、网站挂马等

3、工要攻击手段:反射型、存储型、DOM型

  • 反射型:服务端返回脚本,客户端执行(一般通过URL)
  • 存储型:后台存储,前端展示(一般通过发帖或评论)
  • DOM型:基于DOM(流量劫持、DNS劫持)

4、主要防御手段:输入输出过滤、长度限制、cookie设置http-only

跨站请求伪造CSRF

1、概念:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

2、主要危害:盗取账号、非法转账、发送邮件消息等

3、主要攻击手段:img等标签跨域GET请求、POST自动表单提交

4、主要防御手段:尽可能使用POST方式、验证码、验证 Referer、CSRF Token

Jinmindong
关注
[网络安全自学篇] 八十三.WHUCTF之CSS注入、越权、csrf-token窃取及XSS总结
杨秀璋的专栏
06-09 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来博友们学习,希望您喜欢,一起进步。前文分享了WHUCTF隐写和逆向题目,包括文字解密、图片解密、佛语解码、冰蝎流量分析、逆向分析。这篇文章将详细讲解一道CSS注入题目,包括CSS注入、越权、csrf-token窃取及CSP绕过,同时总结XSS绕过知识,希望对您有所帮助。第一次参加CTF,还是学到了很多东西。人生路上,要珍惜好每一天家人陪伴的日子。感谢武汉大学,感谢这些大佬和师傅们(尤其出题和解题的老师们)~
XSSCSRF攻击防御
weixin_43613849的博客
05-13 933
一、概念 XSS攻击全称:跨站脚本攻击(Cross Site Scripting); CSRFCross-site request forgery站请求 二、XSS 1、什么是 XSSXSS (Cross Site Scripting),即跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞。恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。借助安全圈
网络安全杂谈- CORS/CSRF/XSS
wuli1024的博客
01-08 1994
出于浏览器的同源策略限制,浏览器会拒绝域请求。同源: 域名、端口、协议都相同,称为同源。
网络安全攻防之Web渗透测试知识点总结
weixin_42792652的博客
10-17 825
1.简述OSI的七层结构 2.简述TCP三次握手的过程 3.简要说明TCP和UDP区别以及用途 4.TCP的半连接状态是什么 5.IP的报头是怎么样的 6.nat转换的原理是什么?和iptables的关系? 7.DHCP协议的功能?报文结构? 8.DHCP动态分配IP的过程是什么?它的原理是什么? 9.讲一讲什么是ARP协议? 10.ARP投毒过程和原理?该怎么防御ARP投毒? 11.MAC泛洪攻击的原理和过程?它的防御方式是什么? 12.Web服务器被攻击后应该怎么排查 13.渗透
XSSCSRF、点击劫持、web应用安全实施
小司机的奥拓
04-22 1052
如果放cookie要配置上httponly和secure属性,这样就防止xss,同时其他的同源策略要多多考虑。如果选择其他方式,就要着重考虑防止xss。必须使用csrf-token,使用cookie存储,使用httponly和secure属性。每个域名入口必须配置指定域能域,不能写通配符。响应的html内容必须加上csp策略(响应头和meta标签形式均可),只允许本源或指定源,配置不允许内联脚本、内联css。
Web安全工程师面试(SQL、XSSCSRF、SSRF、XXE)
诚邀网络通信领域商务合作
12-21 4712
文章目录一、Web基础二、SQL注入漏洞三、XSS站脚本漏洞1、反射型XSS漏洞原理2、存储型XSS漏洞原理3、基于DOM的XSS四、CSRF站请求伪造漏洞 一、Web基础 一次Web访问过程分析:DNS域名解析、TCP连接、HTTP请求、处理请求返回HTTP响应、页面渲染和关闭连接。 二、SQL注入漏洞 SQL注入漏洞是指, 攻击者能够利用现有Web应用程序,将恶意的数据插入SQL查询中,提交到后台数据库引擎执行非授权操作。 SQL注入漏洞的主要危害如下。 1 非法查询、修改或删除数据库资源。..
XSS注入总结
2401_84466229的博客
09-02 2308
aaaaaa
2024年网络安全最新web安全及防护(XSSCSRF、sql注入)(1)
2401_84281594的博客
05-03 2247
几句简单的javascript,获取cookie中的用户名密码,利用jsonp把向1、盗取用户信息,如机器登录帐号、用户网银帐号、各类管理员帐号2、控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力3、盗窃企业重要的具有商业价值的资料4、非法转账5、强制发送电子邮件7、控制受害者机器向其它网站发起攻击。
攻防世界-----web知识点总结
m0_62879498的博客
12-03 1730
WEB 一. 网页源代码的方式 在地址栏前面加上view-source,如view-source:https://www.baidu.com 浏览器的设置菜单框中使用开发者工具,也可以查看网页源代码。 二. robots(robtos.txt) robots是网站跟爬虫间的协议,用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限,也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如
精选资源
CF复习.pdf_vulnerability_网络安全攻防基础知识总结_
10-03
以下将对其中的关键知识点进行深入阐述。 首先,我们要了解一般信息和网络安全职业。网络安全不仅关乎技术,也涉及法规、伦理和社会责任。在这个领域,有多种角色,如安全分析师、渗透测试员、安全架构师等,每个...
网络安全中级阶段学习笔记(五):CSRF站请求伪造学习笔记(超全总结)
2501_91976946的博客
12-04 482
本文系统总结了CSRF站请求伪造攻击的核心知识。主要内容包括:1) 前置基础:解释了Cookie、Session和同源策略的关系;2) 攻击原理:分析了CSRF的定义、核心逻辑和特点;3) 攻击类型:详细介绍了GET型和POST型CSRF的实现方式,并提供了实战案例;4) 进阶攻击:阐述了JSONP劫持、CORS劫持等域资源劫持方法;5) 防御措施:重点推荐Anti-CSRF Token等服务器端防御手段,并给出防御优先级建议。全文通过流程图、对比表等形式梳理关键知识点
站请求伪造(CSRF):原理、攻击防御全解析
AngelCryToo的专栏
12-04 751
CSRF攻击防御全解析 CSRF站请求伪造)是一种利用用户已登录状态发起恶意请求的攻击方式。攻击者通过诱导用户访问恶意页面,浏览器自动携带会话Cookie,伪造合法请求执行转账、改密等操作。 攻击类型:包括GET型(图片/iframe触发)、POST型(表单自动提交)和复杂JSON/XML请求。典型案例涉及GitHub、Netflix等平台,甚至可攻击路由器重置设置。 防御方案: 令牌验证:同步令牌或双重Cookie验证,确保请求来源合法。 SameSite Cookie:限制站Cookie携带(推
API 使用 Bearer Token 为什么可天然防 CSRF
bsklhao的博客
12-01 484
Bearer Token 能天然防御 CSRF,是因为它不依赖浏览器自动携带机制,而是由前端主动、显式地附加到请求中。攻击者无法在站请求中注入有效的 Token,因此无法伪造用户身份操作。这正是现代无状态 API(如 RESTful API)普遍采用 Token 认证而非传统 Cookie + Session 的重要安全优势之一。
DVWA-XSS(DOM)
m0_74303175的博客
11-30 898
DOM 型 XSS(DOM-Based Cross-Site Scripting)是跨站脚本攻击的一种特殊类型,传统的存储型 XSS、反射型 XSS 不同,它完全发生在客户端(浏览器),服务端不会参恶意代码的解析和返回,而是通过篡改浏览器的 DOM(文档对象模型)结构,执行注入的恶意脚本。
DVWA-XSS(stored)
m0_74303175的博客
12-03 404
XSS 中危害最高的类型,核心特点是,所有访问包含该恶意代码页面的用户都会自动触发攻击,无需用户主动点击恶意链接。
DVWA-XSS(Reflected)
m0_74303175的博客
12-01 661
反射型 XSS(反射型站脚本) 是 XSS 的常见类型之一,核心特点是恶意代码通过 URL 参数 / 表单提交等方式传入服务端,服务端未过滤直接返回给客户端,浏览器解析后执行脚本,属于 “非持久化” 攻击(恶意代码不会存储在服务端)。
React大模型网站-流式推送markdown转换问题以及开启 rehype-raw,rehype-sanitize,remark-gfm等插件的使用
m0_61998604的博客
12-04 571
本文介绍了在React大模型网站中实现流式推送Markdown转换的方法,重点讲解了ReactMarkdown库及其配套插件的使用。主要内容包括:1)ReactMarkdown基础用法;2)通过rehype-raw插件支持HTML标签渲染;3)使用rehype-sanitize防止XSS攻击;4)利用remark-gfm支持GitHub风格的Markdown语法;5)给出了完整的流式渲染实现方案,包含SSE推送、内容累积和实时更新等关键技术。文章还提供了完整的代码示例,帮助开发者快速实现安全可靠的Markd
50、【Ubuntu】【Gitlab】拉出内网 Web 服务:http.server 单/多线程分析(二)
最新发布
HIT_Weston的博客
12-04 606
本文分析了Python的http.server模块在单线程和多线程模式下的性能表现。通过测试发现,单线程模式下(Python<3.7)并发请求会被阻塞,后发请求需要等待前一个请求完成;而多线程模式下(Python≥3.7)可以同时处理多个请求。作者通过slow_server.py脚本模拟耗时操作,使用time curl命令测试响应时间,验证了线程模型的差异。文章还指出Python 3.7是一个重要分水岭,官方将默认命令行服务器升级为多线程以提升用户体验。技术细节参考了CPython源码,并提供了Git
网络攻防知识点总结
03-17
### 网络攻防知识点总结 #### 一、网络攻防的核心概念 网络安全中的攻防对抗主要分为两个方向:攻击技术和防御技术。其中,“红队”专注于模拟真实攻击者的行为,通过渗透测试等方式发现系统的潜在漏洞;而“蓝队...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值