web网络安全知多少

在这里插入图片描述

web安全性包括: 客户端脚本安全和服务器端应用服务器

客户端脚本安全:
● 跨站脚本攻击(XSS )
● 跨站点请求伪造(CSRF)
● 点击劫持(ClickJacking)
● HTML 5 安全性
服务端应用安全:
● 注入攻击
● 文件上传漏洞
● 认证与会话管理
● 访问控制
● DDos攻击
个人意识和个人层面:
Xss 攻击
Cross Site script: Xss攻击是通过HTML网页篡改网页,插入恶意的脚本,从而在用护浏览网页,控制用户浏览器的一种攻击,Xss长期被列为Web客户端的头号大敌.
反射型XSS
反射型Xss只是简单把用户输入的数据“反射”给浏览器,也就是说,黑客往往需要诱使用户点击“恶意”的链接,有称为非持久的xss
存储型XSS
存储型Xss,黑客把恶意的脚本保存在服务器
DOM Based Xss
也是反射型的XSS,通过修改DOM节点形成XSS,称为DOM Based Xss

Xss攻击进阶
Xss payload
Xss 攻击成功之后,对用户当前浏览的页面植入恶意脚本,控制用户的浏览器,称为Xss payload,常见的Xss payload,是Cookie劫持,可以通过设置“Httponly”标识并防止Cookie劫持,
解决思路

  1. Cookie httponly
  2. 输入检查, 互联网有很多Xss filter
  3. 输出检查, 在变量输出到HTML时候,可以使用编码或者转义,比如HtmlEncode JavascriptEncode
  4. 富文本尽量不让用户自定义Css,如果支持的话,用Css parser对样式进行智能解析.
  5. Dom Based Xss是从javascript输出数据到HTML页面,上面所有的方法是从服务器直接输出到HTML,这块目前还没有效的解决,

跨站点请求伪造(CSRF)

浏览器的cookie

● SessionCookie(又名为临时Cookie)
● Third-party cookie
两者的区别是在于 Third-party cookie是服务器在set-cookie时指定了Expire时间,只有到了expire时间后的cookie才会失效,所以这种cookie会保存在本地,而session-cookie则没有指定expire时间,所以浏览器关闭之后,就失效了.一般而言浏览器会禁止

Web安全是一个很大的领域,可参考《白帽子讲Web安全》

1、XSS 跨站脚本攻击
○ 类型
■ 反射型
■ 存储型
■ 基于 DOM 的攻击
○ 解决方案有:
■ 服务端
● 输入时,过滤数据、使用编码
● 设置 cookie 为 httpOnly
■ 前端
● 输入时,过滤数据、使用编码
● 输出时,过滤数据

2、CSRF 跨站请求伪造
○ 原理:利用客户端用户的登录态进行的第三方请求攻击
○ 解决方案有:
■ referrer
■ 验证码
■ token
■ cookie 新增属性 SameSite

3、iframe 的风险
○ 防御:使用 iframe 的属性 sandbox 限制 iframe 的行为

4、点击劫持
○ 原理:利用网站视觉欺骗,将原有网页的功能或操作通过其他形式覆盖,当用户点击时,从而发起攻击
○ 防御:
■ iframe 覆盖攻击:使用 X-Frame-Options HTTP 响应头标记该页面不能被 iframe 嵌入,从而避免该点击劫持的可能性
■ 图片覆盖攻击:考虑是否存在xss、检查用户提交的img标签是否style属性浮出

5、错误的内容推断
○ 浏览器会根据返回的内容自行推断文件的类型,从而以相应的类型执行文件,如 .js 文件就发起执行 js 脚本。
○ 防御:设置 HTTP 头的属性 X-Content-Options: nosniff ,设置后浏览器不再推断类型,而是根据 Content-Type 的值去处理。

6、不安全的第三方依赖包
○ 通常项目开发中,不可避免的会使用到第三方依赖包,这时第三方依赖包就有可能存在安全漏洞。
○ 防御:
■ 使用一些检测工具检查第三方依赖包等

7、响应拦截
○ 通常用户访问某个网站,是从域名开始输入,访问某网站时,是通过 http 请求发起的,然后再重定向https请求,这给了攻击者机会,在 http 访问时便被拦截。
○ 防御:
■ 输入网站时,带上协议:https
■ 响应头上带上 Strict-Transport-Security 告诉浏览器以后访问该网址时自动把 http 转换成 https
■ 不使用不信任的热点访问需要关注安全的网站

8、本地存储数据泄露
○ 防御:尽可能不在前端存储敏感、机密的信息

9、静态资源完整性
○ 通常静态资源如 脚本文件 和 样式文件存在 CDN,若 CDN 被劫持修改了资源,那么就会造成被攻击。
○ 防御:使用浏览器端的 script 和 link 标签的属性 integrity 表示文件的 base64编码的哈希值和实际的文件哈希值比较是否未被修改。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/17281.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【CALayer-时钟练习-界面-锚点 Objective-C语言】

一、接下来,我们来说这个时钟练习 1.这个里边呢,有这么一个表盘的一个效果,然后呢,这个秒针,跟我们的时间,是同步的, 新建一个项目, Name:05-时钟练习 然后呢,给这个控制器的View,一个背景颜色,先, 背景颜色, 2.接下来,我们开始来做,我们现在这个表盘啊,是我们…

绿色瓶装水“暗战”竞争越发激烈,华润饮料谋上市同时多地扩产能

《港湾商业观察》黄懿 4月23日,纯净水牌“怡宝”母公司华润饮料(控股)有限公司(下称“华润饮料”)向港交所主板提交上市申请,联席保荐人为中银国际、中信证券、美银美林、瑞银集团。 在华润饮料递表不久之…

【ARM+Codesys案例】基于全志T3+Codesys软PLC的3C点胶边缘控制解决方案:整合了运动控制、视觉、激光测高等技术

视觉精密点胶控制方案 针对直交型机构的平面点涂胶应用,基于CODESYS软件平台开发的一站式PC型控制器解决方案,包含运动控制器硬件和点胶应用软件。方案整合了运动控制、视觉、激光测高等技术,高效精密的控制胶水点涂于产品表面或内部&#x…

CHIMA专访美创高级总监丁斐:为医疗数据安全构筑体系化防御新机制

5月17-19日,中国医院信息网络大会(CHIMA 2024)在南京隆重召开。作为结识多年的老友,美创科技再携以数据为中心的全系列安全业务、新一代数字化安全平台、医疗行业解决方案精彩亮相。 会议期间,CHIMA专访美创科技&…

[数据集][目标检测]RSNA肺炎检测数据集VOC+YOLO格式6012张1类别

数据集格式:Pascal VOC格式YOLO格式(不包含分割路径的txt文件,仅仅包含jpg图片以及对应的VOC格式xml文件和yolo格式txt文件) 图片数量(jpg文件个数):6012 标注数量(xml文件个数):6012 标注数量(txt文件个数):6012 标注…

【基础算法总结】前缀和二

前缀和二 1.和为 K 的子数组2.和可被 K 整除的子数组3.连续数组4. 矩阵区域和 点赞👍👍收藏🌟🌟关注💖💖 你的支持是对我最大的鼓励,我们一起努力吧!😃😃 1.和为 K 的子数…

Java语言ADR药物不良反应系统源码Java+IntelliJ+IDEA+MySQL一款先进的药物警戒系统

Java语言ADR药物不良反应系统源码JavaIntelliJIDEAMySQL一款先进的药物警戒系统源码 ADR药物不良反应监测系统是一个综合性的监测平台,旨在收集、报告、分析和评价药品在使用过程中可能出现的不良反应,以确保药品的安全性和有效性。 以下是对该系统的详细…

Modbus工业网关

随着工业自动化程度的不断提高,设备之间的数据通信与交互变得至关重要。在这一背景下,Modbus协议凭借其简单、可靠、开放的特点,成为了工业自动化领域中最常用的通信协议之一。而HiWoo Box网关作为一款支持Modbus协议的工业网关设备&#xff…

【全开源】防伪溯源一体化管理系统源码(FastAdmin+ThinkPHP和Uniapp)

一款基于FastAdminThinkPHP和Uniapp进行开发的多平台(微信小程序、H5网页)溯源、防伪、管理一体化独立系统,拥有强大的防伪码和溯源码双码生成功能(内置多种生成规则)、批量大量导出防伪和溯源码码数据、支持代理商管理…

Springboot项目——博客平台

前言:为巩固之前学习的知识,同时锻炼自己的代码能力,项目经验,熟悉前后端交互方式等,特此完成一个博客平台系统。(总之,为了学习,为了进步) 博客平台:本项目…

网络安全的重要组成部分:数据库审计

数据库审计(简称DBAudit)以安全事件为中心,以全面审计和精确审计为基础,实时记录网络上的数据库活动,对数据库操作进行细粒度审计的合规性管理,对数据库遭受到的风险行为进行实时告警。它通过对用户访问数据…

线性稳压电路和开关稳压电路

稳压二极管稳压电路 电网电压增大,导到u1端的电压增大,从而使输出电压,稳压二极管两端的电压增大,稳压二极管两端电压增大,使流过的电注增大。那么,流过线性电阻R的总电流增大。 Ur电压增大,从…

PGP软件安装文件加密解密签名实践记录

文章目录 环境说明PGP软件安装PGP软件汉化AB电脑新建密钥并互换密钥对称密钥并互换密钥 文件加密和解密A电脑加密B电脑解密 文件签名A电脑签名文件B电脑校验文件修改文件内容校验失败修改文件名称正常校验 环境说明 使用VM虚拟两个win11,进行操作演示 PGP软件安装 PGP软件下…

AI赋能:人工智能技术驱动下的品牌海外市场精准分析与营销策略

随着全球化的加速和科技的飞速发展,品牌在海外市场的竞争愈发激烈。为了在竞争激烈的国际市场中脱颖而出,品牌需要更深入地了解海外消费者的行为、趋势和偏好。在这个过程中,人工智能(AI)技术以其强大的数据处理和分析…

【高阶数据结构(七)】B+树, 索引原理讲解

💓博主CSDN主页:杭电码农-NEO💓   ⏩专栏分类:高阶数据结构专栏⏪   🚚代码仓库:NEO的学习日记🚚   🌹关注我🫵带你学习更多数据结构   🔝🔝 高阶数据结构 1. 前言2. B树讲解…

音视频开发9 FFmpeg 解复用框架说明,重要API说明

一,播放器框架 二 常用音视频术语 容器/文件(Conainer/File): 即特定格式的多媒体文件, 比如mp4、flv、mkv等。 媒体流(Stream): 表示时间轴上的一段连续数据&#xff0…

HAL工程应该这样搭建~

目录 一、为何要自己手动搭建一个软件工程? 二、在Keil5STM32F429**平台下的软件工程搭建 三、打开Keil MDK5软件创建一个新工程 四、在各个文件夹下添加所需文件 五、在MDK工程下添加文件 六、在MDK下添加路路径 一、为何要自己手动搭建一个软件工程&#xff…

安泰电子:电压放大器有哪些特点

电压放大器是电子电路中常见的一种重要元件,其作用是将输入电压信号放大到更高的电压水平。它在各种应用中都扮演着关键的角色,从音频放大器到通信系统中的射频放大器都有广泛的应用。下面安泰电子将介绍电压放大器的特点,以便更好地理解它们…

python 办公自动化-生成ppt文本和图

最终样式 代码实现 # 可编辑折线+写入文字 成功 # 问题: 设置字体类型和加粗和字体为微软雅黑,是只改了字母和数字的字体,中文没变化 pip install pptx_ea_font 这个库可以解决这个问题 import pandas as pd import pptx_ea_font import matplotlib.pyplot as plt from pp…

嵌入式智能硬件茶杯垫的设计与实现方案

iCupBox简介 这是一款智能杯垫产品,基于GTD时间管理理念设计,目的是提醒人们专心工作和及时喝水休息,提高工作效率。 https://gitee.com/jiangtao008/iCupBox 开原许可协议:MIT 项目分为客户端APP和杯垫固件系统: 客户端APP,使用QML开发,集成GTD时间管理方法,与杯垫固…