前端培训-初级阶段-xss相关

简介: 前端最基础的就是 HTML+CSS+Javascript。掌握了这三门技术就算入门,但也仅仅是入门,现在前端开发的定义已经远远不止这些。前端小课堂(HTML/CSS/JS),本着提升技术水平,打牢基础知识的中心思想,我们开课啦(每周四)。这块内容是在会后又加了一节(老板说要处理这块内容)。之前其实就做过一期这样的内容XSS_跨站脚本攻击

我们要讲什么?


  1. xss 是什么?


  1. 攻击原理是什么?


  1. 危害


  1. 预防手段是什么?


  1. web 安全还有什么是需要注意的


XSS 是什么?


XSS 攻击全称跨站脚本攻击 (Cross Site Scripting),是为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS,XSS 是一种在web应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。


XSS 攻击原理


恶意攻击者往 Web 页面里插入恶意 javascript 代码。当其他用户浏览该页面时,嵌入的代码会被执行,从而达到恶意攻击用户的目的。


XSS 危害


常见于一些私人的博客,攻击者恶意评论,弹出alert,这种充其量也就是一个玩笑。

但是如果是盗窃cookie异常提交请求,这些就属于危险操作。


cookie可以用来伪装成其他用户操作,有可能就会造成财产上的损失。


预防手段


首先我们来分析他攻击方式,在其他用户端执行了一段异常代码,那么我们不执行不就好了吗?


  1. 富文本情况,这个可属于重灾区,因为你不确定内容是什么,你还要原样输出。业界方案一般来说是白名单,比如说 <script> 标签都过滤,一些时间都过滤比如<img onerror=,从而达到预防攻击的目的。


  1. 服务端直出情况,比如说一些模板引擎啊什么的,我们公司用的是velocityfreemark。这个位置又分为三个方法


a.toHtml,首先所有内容都是直出到页面,先经过html解析。这个位置要预防<script>等一些注入的情况


b.toJS,有可能有一些内容是输出在了 script 标签内,这个时候我们要注意他是不是"'</script>等,故意破坏数据的。


c.toURL,这个就是判断存在不存在javascript:alert();的情况了。


3.页面innerHTML或者write。这个怎么说呢,Vue 或者一些框架是没问题的,因为他们是插槽法,而不是拼接法。


  1. toHtml,主要用于 jquery ,处理一些字符变成实体编码
  2. toURL,也是用来判断javascript:alert();的情况


web 安全问题


XSS、CSRF、arp、xff、中间人攻击、运营商劫持、防暴刷


  1. CSRF 一般来说就是页面直出一个token,每次请求都带上token。


  1. 劫持 https有的时候运营商的劫持还是没办法。


  1. 刷,这个略坑。


参考代码


bVbsoQ0.webp.jpg


参考文献以及资料


  1. Web安全学习笔记
    也是当初在网上找资料发现的。介绍的挺全面的。
相关文章
|
6月前
|
存储 JavaScript 前端开发
前端xss攻击——规避innerHtml过滤标签节点及属性
前端xss攻击——规避innerHtml过滤标签节点及属性
384 4
|
JavaScript 前端开发 安全
前端实践:如何防止xss跨站脚本攻击(vue代码说明)
XSS(跨站脚本)攻击是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本代码,从而实现窃取用户信息、盗取会话令牌等攻击目的。为了防止XSS攻击,我们可以采取以下措施:
6950 0
前端实践:如何防止xss跨站脚本攻击(vue代码说明)
|
6月前
|
缓存 安全 JavaScript
前端安全:Vue应用中防范XSS和CSRF攻击
【4月更文挑战第23天】本文探讨了在Vue应用中防范XSS和CSRF攻击的重要性。XSS攻击通过注入恶意脚本威胁用户数据,而CSRF则利用用户身份发起非授权请求。防范措施包括:对输入内容转义、使用CSP、选择安全的库;采用Anti-CSRF令牌、同源策略和POST请求对抗CSRF;并实施代码审查、更新依赖及教育团队成员。通过这些实践,可提升Vue应用的安全性,抵御潜在攻击。
933 0
|
存储 Web App开发 JavaScript
Web前端安全策略之XSS的攻击与防御(上)
随着技术的发展,前端早已不是只做页面的展示了, 同时还需要做安全方面的处理,毕竟网站上很多数据会涉及到用户的隐私。若是没有些安全策略, 很容易被别人通过某些操作,获取到一些用户隐私信息,那么用户数据隐私就无法得到保障。对于前端方面的安全策略你又知道多少呢?接下来我们来介绍一下~ 本文先讲前两个,之后再讲最后一个
233 0
Web前端安全策略之XSS的攻击与防御(上)
|
2月前
|
存储 前端开发 JavaScript
浅谈Web前端安全策略xss和csrf,及又该如何预防?
该文章详细讨论了Web前端安全中的XSS(跨站脚本攻击)和CSRF(跨站请求伪造)攻击原理及其防范措施,帮助读者了解如何保护Web应用程序免受这两种常见安全威胁的影响。
浅谈Web前端安全策略xss和csrf,及又该如何预防?
|
5月前
|
监控 安全 前端开发
前端安全:XSS攻击与防御策略
抵御XSS攻击的关键策略包括输入验证、输出编码、设置安全HTTP头如CSP和X-XSS-Protection、谨慎管理存储和会话、使用DOMPurify等库进行数据清理、采用安全编码实践、教育用户和开发人员、实施多层防御、持续测试和更新。其他措施如使用非渲染模板引擎、限制错误信息、使用WAF、加密数据、遵守安全编码标准和进行安全审计也是重要步骤。
133 0
|
6月前
|
前端开发 JavaScript 安全
【网络安全/前端XSS防护】一文带你了解HTML的特殊字符转义及编码
【网络安全/前端XSS防护】一文带你了解HTML的特殊字符转义及编码
409 0
|
6月前
|
前端开发 安全 JavaScript
前端安全防护:XSS、CSRF攻防策略与实战
【4月更文挑战第13天】本文探讨了XSS和CSRF攻击的类型、危害及防御方法。XSS攻击通过注入恶意脚本威胁用户安全,分为存储型、反射型和DOM型。CSRF攻击利用用户已登录状态发起恶意请求,可能导致账户状态改变和数据泄露。防御XSS包括输入验证、输出编码和启用Content Security Policy(CSP)。针对CSRF,可使用Anti-CSRF Tokens、设置SameSite Cookie属性和启用HTTPS。开发者应采取这些策略保护用户数据和网站稳定性。
871 0
|
6月前
|
前端开发 JavaScript 网络安全
【网络安全XSS必知 | 前端开发基础】一篇文章速学 HTML
【网络安全XSS必知 | 前端开发基础】一篇文章速学 HTML
93 0
|
前端开发 JavaScript 安全
前端学习笔记202307学习笔记第五十七天-模拟面试笔记网络-xss和csrf攻击
前端学习笔记202307学习笔记第五十七天-模拟面试笔记网络-xss和csrf攻击
87 0