CSRF 攻击和 XSS 攻击分别代表什么?如何防范?

这篇具有很好参考价值的文章主要介绍了CSRF 攻击和 XSS 攻击分别代表什么?如何防范?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一:PHP

        1. CSRF 攻击和 XSS 攻击分别代表什么?

                1.CSRF攻击

                1.概念:

                CSRF(Cross-site request forgery)跨站请求伪造,用户通过跨站请求,以合法身份做非法的事情

                2.原理:

                1.登录受信任网站 A,并在本地生成 Cookie。(如果用户没有登录网站 A,那么网站 B 在诱导的时候,请求网站 A 的 api 接口时,会提示你登录)。

                2.在不登出 A 的情况下,如果 A 网站存在 CSRF 漏洞,此时 B 网站给 A 网站的请求(此时相当于是用户访问),A 网站会认为是用户发的请求,从而 B 网站就成功伪装了你的身份,因此叫跨站请求伪造。

                3.防范:

                        1.Token 验证

                        2.Referer 验证:Referer 指的是页面请求来源。意思是只接受本站的请求,服务器才做响应;如果不是,就拦截。

                2. XSS攻击

                1.概念:

                XSS(Cross Sit人 Scripting):跨域脚本攻击。

                2.原理:

                不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 JS、html 代码块)。

                3.防范:

                1.编码:对用户输入进行编码。

                2.过滤 :移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点)

                3.校正:使用 DOM Parse 转换,校正不配对 DOM 标签。

                4.HttpOnly:HttpOnly属性是Set-Cookie HTTP 响应标头的可选属性,由 Web 服务器在 HTTP 响应中与网页一起发送到 Web 浏览器。下面是使用Set-Cookie标头设置会话 cookie 的示例:

HTTP/2.0 200 OK
Content-Type: text/html
Set-Cookie: sessionid=QmFieWxvbiA1


上面的会话 cookie 不受保护,可以在 XSS 攻击中被盗。但是,如果会话 cookie 设置如下,则可以防止使用 JavaScript 访问它:

Set-Cookie: sessionid=QmFieWxvbiA1; HttpOnly

                4.分类:

                反射型(非持久):点击链接,执行脚本

                存储型(持久):恶意输入保存数据库,其他用户访问,执行脚本

                基于 DOM:恶意修改 DOM 结构,基于客户端

参考:

XSS 攻击和 CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?_csrf攻击和xss攻击_gqkmiss的博客-CSDN博客

 文章来源地址https://www.toymoban.com/news/detail-637352.html

到了这里,关于CSRF 攻击和 XSS 攻击分别代表什么?如何防范?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • xss和csrf攻击

    xss是指向html或dom中注入恶意脚本,从而在用户浏览页面的时候利用脚本对用户实施攻击的手段 xss可以实现: cookie信息的窃取 监听用户行为(如表单输入提交) 修改dom(伪造登录页面窃取账号密码) 生成浮窗广告 防止xss攻击的策略: 服务器对输入脚本进行过滤或转码 设置

    2023年04月11日
    浏览(39)
  • xss csrf 攻击

    介绍 xss csrf 攻击 XSS: XSS 是指跨站脚本攻击。攻击者利用站点的漏洞,在表单提交时,在表单内容中加入一些恶意脚本,当其他正常用户浏览页面,而页面中刚好出现攻击者的恶意脚本时,脚本被执行,从而使得页面遭到破坏,或者用户信息被窃取。 要防范 XSS 攻击,需要在

    2024年02月14日
    浏览(47)
  • 防范 XSS 攻击的措施

    XSS(Cross-site scripting)攻击是一种常见的网络安全漏洞,它可以通过注入恶意代码来攻击用户的计算机和浏览器,从而窃取用户的敏感信息或执行恶意操作。本篇文章将介绍防范 XSS 攻击的措施,并提供一些代码示例。 XSS 攻击是一种跨站点脚本攻击,攻击者通过在 Web 页面中

    2024年02月16日
    浏览(43)
  • 【前端安全】-【防范xss攻击】

    XSS 攻击是页面被注入了恶意的代码 公司需要一个搜索页面,根据 URL 参数决定的内容。小明写的前端页面代码如下: 如果这个url是: http://xxx/search?keyword=\\\"scriptalert(\\\'XSS\\\');/script ,会导致页面弹出两次弹窗,因为当浏览器请求 http://xxx/search?keyword=\\\"scriptalert(\\\'XSS\\\');/script 时,

    2024年02月09日
    浏览(56)
  • 什么是DDoS攻击?如何防范DDoS攻击?

    DDoS攻击是最常见、破坏力最强的网络攻击手段之一,对网络安全稳定造成了严重威胁,因此了解DDoS攻击的运行机制以及如何有效应对DDoS攻击十分有必要。本文中科三方针对DDoS攻击特点和防御手段做下介绍。 什么是DDoS攻击? DDoS全称Distributed Denial of Service,中文译作分布式拒

    2023年04月09日
    浏览(77)
  • 什么是SQL注入攻击,解释如何防范SQL注入攻击?

    SQL注入攻击是一种常见的网络攻击方式,攻击者通过在Web应用程序的查询语句中插入恶意代码,从而获取数据库中的敏感信息或者执行其他恶意操作。 为了防范SQL注入攻击,可以采取以下措施: 使用参数化查询:使用参数化查询可以避免攻击者通过查询语句中的参数注入恶

    2024年02月10日
    浏览(50)
  • .NET中使用HtmlSanitizer来有效的防范XSS攻击!

    随着互联网的发展,网络安全问题越来越受到关注。XSS攻击作为最常见的网络安全漏洞之一,对企业和用户的信息安全构成严重威胁。.NET开发人员可以使用HtmlSanitizer来有效防范XSS攻击,确保网站的安全性。 HtmlSanitizer是一个.NET开源库,用于从可能导致 XSS 攻击的构造中清除

    2024年02月09日
    浏览(88)
  • 【 安全】什么是CSRF攻击?如何避免?开发的时候怎么预防?

    CSRF定义: 跨站请求伪造(英语:Cross-site request forgery)是一种对网站的恶意利用,也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。 CSRF跨站点请求伪造(Cross—Site Request Forgery) 跟

    2024年03月14日
    浏览(87)
  • 【Web】什么是 XSS 攻击,如何避免?

    🍎 个人博客: 个人主页 🏆 个人专栏: Web ⛳️   功不唐捐,玉汝于成 目录 前言 正文 常见方法: 结语  我的其他博客 在当今数字化时代,网络安全成为信息技术领域中的一项至关重要的任务。XSS(跨站脚本攻击)作为常见的Web应用程序漏洞,可能导致严重的安全问题。

    2024年02月01日
    浏览(40)
  • [Asp.Net Core] 网站中的XSS跨站脚本攻击和防范

    漏洞说明: 跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Web脚本代码(html、javascript、css等),当用户浏览该页面时,嵌入其中的Web脚本代码会被执行,从而达到恶意攻击

    2023年04月14日
    浏览(50)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包