CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念和防范措施

CSRF与XSS攻击概念及防范措施
原创 已于 2023-04-10 14:37:10 修改 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web #csrf

于 2021-03-22 17:28:22 首次发布
本文详细介绍了CSRF(跨域请求伪造)和XSS(跨域脚本攻击)的概念及防御措施。对于CSRF,讨论了sameSite cookie策略、验证referer和Origin、二次验证及非cookie令牌的使用。对于XSS,区分了存储型、反射型和DOM型,并提出了过滤和HTML编码的防御方法。

这里写目录标题

CSRF(跨域请求伪造)

恶意网站以正常用户为媒介,通过模拟正常用户的操作,攻击其登录过的网站。

原理:

1. 正常用户登录后,获得正常站点的令牌,以cookie的形式保存。

2. 用户访问恶意站点,恶意站点通过某种形式去请求了正常网站,然后将用户的令牌传递到正常网站,完成攻击。

防御

cookie的sameSite

现在很多浏览器都支持禁止跨域携带cookie。需要设置cookie的sameSite为:

  • Strict:严格,所有跨站请求都不附带cookie,有时会导致用户体验不好
  • Lax:宽松,所有跨站的超链接、GET请求的表单、预加载连接时会发送cookie,其他情况不发送
  • None:无限制

这种方法非常简单,极其有效,但前提条件是:用户不能使用太旧的浏览器。

验证referer和Origin

页面中的二次请求都会附带referer或Origin请求头,向服务器表示该请求来自于哪个源或页面,服务器可以通过这个头进行验证。

但某些浏览器的referer是可以被用户禁止的,尽管这种情况极少

二次验证

当做出敏感操作时,进行二次验证

使用非cookie令牌

这种做法是要求每次请求需要在请求体或请求头中附带token

请求的时候:authorization: token

XSS(跨域脚本攻击)

存储型XSS

  1. 恶意用户提交

最低0.47元/天 解锁文章
解释 JavaScript 中的 XSS (脚本攻击) CSRF (请求伪造) 攻击原理及防御措施。
weixin_41455464的博客
07-26 1128
防御措施原理适用场景输入验证严格验证用户输入,只允许输入符合预期格式的数据。所有接收用户输入的地方,例如表单、URL 参数、Cookie 等。输出编码对用户输入的数据进行编码,使其在 HTML 中显示时不会被解析为代码。所有需要将用户输入的数据显示在页面的地方。控制浏览器能够加载哪些资源,限制恶意脚本的执行。整个网站,可以细粒度地控制不同页面的安全策略。防止 XSS 攻击窃取 Cookie。所有需要保护的 Cookie,例如会话 Cookie。及时更新修补漏洞。
11.2:.NET的脚本攻击XSS请求伪造CSRF)防护(课程共5600字,3段代码举例)
小兔子平安
08-16 212
课程为我们提供了全面的知识实践经验,使我们能够更好地保护应用程序用户的隐私。通过不断学习实践,我们可以在.NET应用程序的开发过程中,始终将安全性作为重要的考虑因素,并采取有效的措施来应对不断演变的安全威胁。
CSRF漏洞
2ed
06-13 1664
CSRF是什么? CSRF(Cross-site request forgery),中文名称:请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,...
PHP相关系列 - XSS相关
自娱自乐的代码人
09-12 2014
关于XSS脚本攻击CSRF请求伪造) 我们常说的网络安全其实应该包括以下三方面的安全: 1、机密性,比如用户的隐私被窃取,帐号被盗,常见的方式是木马。 2、完整性,比如数据的完整,举个例子,康熙传位十四子,被当时四阿哥篡改遗诏:传位于四子,当然这是传说,常见的方式是XSS脚本攻击csrf请求伪造。 3、可用性,比如我们的网络服务是否可用,常用的攻击方式是dosd
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 817
Web 安全领中,XSS CSRF 是最常见的攻击方式。本文将会简单介绍 XSS CSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是脚本攻击;其原本缩写是 CSS,但为了层叠样式表(Cascading Style Sheet)有所区分,因而在安全领叫做 XSSXSS 攻击是指攻击...
总结 XSSCSRF 两种攻击
peizhiinfo
11-24 899
XSS脚本(Cross-site scripting) CSRF请求伪造(Cross-site request forgery) 在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式。在这个年代,参数化查询已经成了普及用法,我们已经离 SQL 注入很远了。但是,历史同样悠久的 XSS CSRF 却没有远离我们...
xss crsf
08-10 404
crsf 攻击CSRF(Cross-site request forgery),中文名称:请求伪造CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A...
CSRF 伪造请求
技术的搬运工
01-30 630
伪造请求(英语:Cross-site request forgery),通常缩写为CSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟网站脚本XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
前端 | 浏览器安全:XSS攻击CSRF攻击、中间人攻击
2502_90366796的博客
01-25 1293
本博客介绍了三种常见的Web安全攻击XSSCSRF中间人攻击(MITM)。 XSS攻击攻击者注入恶意脚本,窃取数据或篡改页面。 CSRF攻击:通过伪造请求执行未授权操作,防范方法包括使用随机令牌、检查Referer头部双重认证。 中间人攻击攻击者拦截通信数据,防范方法包括使用HTTPS、VPN、证书验证多因素认证。
XSS CSRF 原理基本防御方式
接着奏乐接着舞的博客
08-10 2506
面试向:XSS CSRF 原理基本防御方式
XSS攻击web项目中的防范,基于antisamy技术
07-10
介绍了XSS攻击web项目中的防范,基于antisamy技术。
CSRF攻击实例与防范
weixin_52224421的博客
01-20 670
CSRF攻击实例与防范
前端网路与安全:XSSCSRF的基本概念、攻击原理以及防范措施是什么?
lee前端技术站
08-31 521
一、XSS脚本攻击 攻击者想尽一切办法,将可以执行的代码注入到网页中。 1.1存储型 场景:常见于带有用户保存数据的网站功能,如论坛发帖,商品评论,用户私信等。 攻击步骤: 攻击者将恶意代码提交到目标网站的数据库中 用户打开目标网站,服务器将恶意代码从数据库取出,拼接在HTML中返回给浏览器 浏览器在收到响应后的数据解析执行,混在 其中的恶意代码同时也被执行 恶意代码窃取用户数据,并发送到指定的攻击者的网站,或者冒充用户行为,调用目标网站的接口,执行恶意操作 1.2反射型 与存储型.
XSS攻击CSRF攻击及其防范
Sun_blog
08-10 387
文章目录XSS攻击分类攻击方式漏洞危害防护方法CSRF攻击漏洞原理防护方法总结 XSS攻击 脚本攻击,通常出现在搜索框、留言板、评论区等地方 分类 反射性、存储型、DOM型 攻击方式 构造恶意链接,诱骗用户点击盗取用户的cookie信息 反射性xss: 通常这一类xss危害较低,对网站没有什么严重的影响,具体表现在用户在搜索框输入xss语句返回弹框,仅出现一次 存储型xss: 存储型对网站危害较大,用户插入xss语句后,恶意语句会存入网站数据库中,用户访问过程都会出现弹框 DOM型xss: DOM——文
内网 —— 攻击
战神/calmness的博客
12-09 948
目录 攻击的方法 利用信任关系的攻击 信任关系 获取信息 利用信任密钥获取目标的权限 利用krbtgt 散列值获取目标的权限 外部信任林信任 利用无约束委派 MS-RPRN 获取信任林权限 防范攻击 攻击的方法 都有自己的内网,一般通过林进行共享资源。根据不同职能区分 利用信任关系的攻击 信任关系 获取信息 利用信任密钥获取目标的权限 ...
CSRF 攻击
avz72927的博客
03-22 195
请求Ajax技术都会极大地提高页面的体验,但同时也会带来安全的隐患,其中最主要的隐患来自于CSRF(Cross-site request forgery)请求伪造CSRF攻击的大致原理是: 用户通过浏览器,访问正常网站A(例如某银行),通过用户的身份认证(比如用户名/密码)成功A网站。 网站A产生Cookie信息并返回给用户的浏览器; 用户保持A网站页面登录状...
csrf攻击
dremcl的博客
03-11 167
csrf攻击原理 请求响应: 从正规网站上注册信息等等,网站会给用户返回一个csrf_token,当用户注册的信息发送时,会带着csrf_token一起返回,若返回的csrf_token一致,则成功,若不一致,则没有响应。钓鱼网站不会有csrf_token! 实例 1 首先在model中定义一个表结构 ...
XSS 攻击 CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?
guoqkmiss的博客
05-12 2176
XSS 攻击 CSRF 攻击 1、XSS 攻击 1. 概念 XSS(Cross Site Scripting):脚本攻击。 2. 原理 不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。 3. 防范 编码;对于用户输入进行编码。 过滤;移除用户输入事件相关的属性。(过滤 script、style、iframe 等节点) 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。 HttpOnly。
CSRF 攻击攻击
weixin_43947156的博客
05-31 193
https://www.cnblogs.com/renhui/p/10200033.html
XSS攻击CSRF攻击
最新发布
07-23
### XSS攻击CSRF攻击的区别 XSS脚本攻击CSRF请求伪造)是两种常见的网络安全攻击方式,它们在攻击原理、目标以及实施条件上存在显著差异。 1. **攻击原理** XSS攻击是通过向网页中注入恶意脚本,使得这些脚本在用户的浏览器上执行,从而窃取用户信息或篡改页面内容。CSRF攻击则是利用用户已经认证的会话信息,伪造用户的请求,使其在不知情的情况下执行某些恶意操作,例如更改账户设置或发起转账[^2]。 2. **实施条件** CSRF攻击需要用户先登录目标网站并获取Cookie或Session信息,攻击者才能以用户的名义发送请求。而XSS攻击并不依赖于用户是否登录,它只需要成功将恶意脚本注入到网页中即可执行[^2]。 3. **攻击目标** XSS攻击主要针对的是网站的内容用户数据,攻击者通过注入的脚本可以访问用户的Cookie、Session等敏感信息,甚至控制用户的浏览器行为。CSRF攻击的目标则是利用用户的合法身份执行未经授权的操作,通常不会直接窃取数据,而是通过伪造请求达到特定目的[^3]。 4. **攻击方式** XSS攻击通常通过在用户输入中插入恶意脚本,例如`<script>`标签或事件处理程序(如`onerror`、`onclick`等),从而在页面加载时自动执行。CSRF攻击则通过诱导用户点击链接或访问恶意网站,向目标网站发送伪造请求,利用浏览器自动携带的Cookie信息完成攻击[^4]。 --- ### XSS攻击CSRF攻击防范措施 1. **防范XSS攻击** - **输入过滤**:对用户提交的所有输入进行严格的过滤,移除潜在的危险字符标签,如`<script>`、`<iframe>`、`onerror`、`onclick`等[^5]。 - **输出编码**:在将用户输入的数据输出到页面时,根据上下文进行适当的编码,例如HTML编码、URL编码或JavaScript编码,防止脚本执行。 - **使用CSP(内容安全策略)**:通过设置HTTP头`Content-Security-Policy`,限制页面中只能加载指定来源的脚本,有效阻止内联脚本外部恶意脚本的执行。 - **使用安全框架**:例如在Web开发中使用框架(如React、Angular)时,其默认机制会对动态内容进行转义,减少XSS风险。 2. **防范CSRF攻击** - **使用CSRF Token**:在每个请求中加入一个随机生成的Token,并在服务器端验证该Token的有效性,确保请求来自合法的用户会话。 - **检查Referer头**:服务器可以通过检查HTTP请求头中的`Referer`字段,确认请求是否来自预期的来源,从而防止请求。 - **SameSite Cookie属性**:设置Cookie的`SameSite`属性为`Strict`或`Lax`,限制Cookie在请求中的发送,减少CSRF攻击的可能性。 - **双重提交Cookie**:将CSRF Token同时存储在Cookie请求参数中,服务器验证两者是否一致,确保请求的合法性。 3. **综合安全措施** - **定期更新安全策略**:随着攻击手段的不断演进,必须持续更新防御机制,修补可能存在的漏洞。 - **加强用户安全意识**:教育用户不随意点击不明链接,避免访问可疑网站,降低被攻击的风险。 - **进行安全审计**:对网站进行全面的安全测试代码审查,发现并修复潜在的安全隐患。 --- ```python # 示例:使用Flask框架防止CSRF攻击 from flask import Flask, request, session from flask_wtf.csrf import CSRFProtect app = Flask(__name__) app.config['SECRET_KEY'] = 'your_secret_key' csrf = CSRFProtect(app) @app.route('/submit', methods=['POST']) def submit(): # 处理提交逻辑 return 'Form submitted successfully' ``` ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值