常见面试题:XSS和CSRF原理及防范方法

XSS和CSRF原理及防范方法

XSS 跨站脚本攻击

浏览器向服务器请求的时候被注入脚本攻击

类型恶意代码有效的位置插入点
反射型URLHTML
存储型服务端数据库HTML
基于DOM服务端数据库/客户端存储/URL前端javascript
  1. 反射型XSS(非持久性跨站脚本攻击)

    攻击方法:

    1. 攻击者把带有恶意脚本代码参数的URL地址发送给用户

         2. 用户点击此链接3. 服务器端获取请求参数并直接使用,服务器返回结果页面
      
  2. 存储型XSS(持久性跨站脚本攻击)

    具有攻击性的脚本被保存到了服务器端数据库,并且可以被普通用户完整的从服务中取得并执行,从而获得了在网络上传播的能力。

  3. DOM型

    这种攻击类型不需要服务器端支持,是由于DOM结构修改导致的。

    攻击方法:

    1. 用户打开有恶意的链接
    2. 浏览器在DOM解析的时候直接使用恶意数据
    3. 用户中招
    4. 常见的触发场景就是在修改innerHTML、outerHTML、document.write时

防范手段

  1. 输入过滤
  2. 输出过滤
  3. 加httponly 请求头,锁死cookie

CSRF跨站请求伪造

攻击方法:黑客通过小网站B,诱使用户去访问已经登录了的网站A,进行一些违背用户意愿的请求,造成用户损失

防范手段

  1. 服务器验证 http请求的refer头信息
  2. 请求的时候 传token
  3. 加验证码

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/6054.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024-5-3学习笔记 虚拟继承原理

目录 原理 总结 前面提到过,解决菱形继承产生的数据二义性问题和数据冗余,就需要用到虚拟继承,关于它是如何解决的,我们来一起研究。 class Person { public :string _name ; // 姓名 }; class Student : virtual public Perso…

排序算法(2)

文章目录 概要原理及实现归并排序定义性能代码Python 快速排序定义代码 小结 概要 接上回 在上篇说过经典的排序算法,有冒泡,插入,选择;归并,快排。其中讲了冒泡,插入,选择;这一回写…

某招聘网站搜索结果接口逆向之webpack扣取

逆向网址 aHR0cHM6Ly93ZS41MWpvYi5jb20v 逆向链接 aHR0cHM6Ly93ZS41MWpvYi5jb20vcGMvc2VhcmNoP2pvYkFyZWE9MDAwMDAwJmtleXdvcmQ9cGhwJnNlYXJjaFR5cGU9MiZrZXl3b3JkVHlwZT0 逆向接口 aHR0cHM6Ly93ZS41MWpvYi5jb20vYXBpL2pvYi9zZWFyY2gtcGM 逆向过程 请求方式 POST 逆向参数 …

华为Pura70发布,供应链公司进入静默保密期

保密措施:与华为Pura70发布相关的供应链公司在产品发布前后处于静默保密期。这可能是由于华为对于手机供应链的一些信息处于保密状态,尤其是关于麒麟芯片的代工厂商等敏感信息。这种保密措施有助于保持产品的神秘感,调动用户的好奇心&#xf…

微信小程序+esp8266温湿度读取

本文主要使用微信小程序显示ESP8266读取的温湿度并通过微信小程序控制LED灯。小程序界面如下图所示 原理讲解 esp8266 通过mqtt发布消息,微信小程序通过mqtt 订阅消息,小程序订阅后,就可以实时收到esp8266 传输来的消息。 个人可免费注册五个微信小程序账号,在微信小程序官…

开源框架 NanUI 项目宣布将暂停开发,作者转行卖钢材

NanUI 界面组件是一个开源的 .NET 窗体应用程序界面框架,适用于希望使用 HTML5 / CSS3 等前端技术来构建 Windows 窗体应用程序用户界面的 .NET 开发人员。 该项目的作者林选臣日前在 GitHub 上发布了停更公告,称因去年被裁员失业,他目前已经…

Adobe软件全家桶:从平面到视频再到音频的创意之旅

在创意设计的广阔天地里,Adobe公司旗下的系列软件无疑是设计师们手中的魔法棒,它们串联起平面设计、视频剪辑直至音频处理的每一个环节,成为跨越视觉创意门槛的必备工具集。本文将深入浅出地介绍这些软件的应用场景、特色功能及其相互间的协作…

Redis 实战1

SDS Redis 只会使用 C 字符串作为字面量, 在大多数情况下, Redis 使用 SDS (Simple Dynamic String,简单动态字符串)作为字符串表示。 比起 C 字符串, SDS 具有以下优点: 常数复杂度获取字符串…

如何在 Ubuntu 14.04 上使用 Heartbeat 和保留 IP 创建高可用性设置

简介 Heartbeat 是一个开源程序,为客户端服务器提供集群基础设施功能——集群成员资格和消息传递,这是高可用性(HA)服务器基础设施中的关键组件。通常,Heartbeat 与集群资源管理器(CRM)&#x…

R语言学习—4—数据矩阵及R表示

1、创建向量、矩阵 在R中,c()函数用于创建向量或组合数据对象。它在某些情况下可能会被省略,因为R有一些隐式的向量创建规则。例如,当你使用:操作符创建一个数字序列时,R会自动创建一个向量,所以你不需要显式地调用c()…

UI-Diffuser——使用生成式扩散模型的UI原型设计算法解析

概述。 移动UI是影响参与度的一个重要因素,例如用户对应用的熟悉程度和使用的便利性。如果你有一个类似的应用程序,你可能会选择一个具有现代、好看的设计的应用程序,而不是一个旧的设计。然而,要从头开始研究什么样的UI最适合应…

[leetcode]Z 字形变换

. - 力扣&#xff08;LeetCode&#xff09; class Solution { public:string convert(string s, int numRows) {int n s.length(), r numRows;if (r 1 || r > n) {return s;}int t r * 2 - 2;int c (n t - 1) / t * (r - 1);vector<string> mat(r, string(c, 0)…

商城数据库(51 52 53 54 55 56 57 58 59 60)

51 CREATE TABLE sxh_log_sms (smsId int(11) NOT NULL AUTO_INCREMENT COMMENT 自增id,smsSrc tinyint(4) NOT NULL DEFAULT 0 COMMENT 消息类型(0:系统消息 ,扩散),smsUserId int(11) NOT NULL DEFAULT 0 COMMENT 发现者ID,smsContent varchar(255) NOT NULL COMMENT 短信内…

Allure 测试报告框架提供了哪些标签,这些标签分别是什么意思

Allure 测试报告框架提供了一些标签&#xff08;Tags&#xff09;用于标识和组织测试报告中的测试用例和测试套件。以下是一些常用的 Allure 标签及其含义&#xff1a; Feature&#xff1a; 含义&#xff1a;用于标识测试用例或测试套件所属的功能模块或特性。示例&#xff1a…

LSM-Tree 原理分析

深入浅出分析LSM树&#xff08;日志结构合并树&#xff09; - 知乎 写得太好了&#xff0c;留下记录。便于复习。 LSM树详解 - 知乎 多了点点内容&#xff0c;也看看吧。

达梦(DM) SQL聚集函数及日期运算操作

达梦DM SQL聚集函数及日期运算操作 聚集函数MAX、MIN、SUM、AVG、COUNT使用分析函数 sum (…) over (order by…) 可以生成累计和更改累计和的值计算出现次数最多的值 日期运算加减日、月、年加减时、分、秒日期间隔之时、分、秒日期间隔之日、月、年求两个日期间的工作天数确定…

QT知识体系框架及对应文章汇总

文章目录 IDE用法基本界面实现基本控件和窗体控件布局和定位应用程序主窗口界面外观样式实现事件系统实现控件窗体关联通信 图形动画2D图形绘制3D图形绘制图形视图框架动画状态切换多媒体应用 数据处理和展示普通文件特殊文件模型视图框架数据库各种数据结构 通信及部署进程/线…

Java基础知识(三) -- 流程控制

不论哪种编程语言&#xff0c;都会提供两种基本的流程控制结构&#xff1a;分支结构和循环结构。其中分支结构用于实现根据条件来选择性地执行某段代码&#xff0c;循环结构则用于实现根据循环条件重复执行某段代码。 1. 顺序结构 任何编程语言中最常见的程序结构就是顺序结构…

单片机编程实例400例大全(100-200)

今天继续分享单片机编程实例第100-200例。 今天的实例会比前面100复杂一些&#xff0c;我大概看了下&#xff0c;很多都具备实际产品的参考价值。 今天继续分享单片机编程实例第100-200例。 今天的实例会比前面100复杂一些&#xff0c;我大概看了下&#xff0c;很多都具备实际…

频分复用系统设计及其MATLAB实现

引言 随着通信技术的飞速发展&#xff0c;通信系统的容量需求不断增长。频分复用&#xff08;Frequency Division Multiplexing, FDM&#xff09;作为一种重要的多路复用技术&#xff0c;被广泛应用于现代通信系统中。本文将介绍频分复用系统的设计原理&#xff0c;并展示如何…