前端安全XSS和XSRF

Posted Smile沛沛

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了前端安全XSS和XSRF相关的知识,希望对你有一定的参考价值。

安全

问题:常见的web前端攻击方式有哪些
  • XSS跨站请求攻击
  • XSRF跨站请求伪造
XSS跨站请求攻击
  • 博客前端界面嵌入script脚本
  • 脚本内容:获取cookie发送到服务器(服务器配合跨域)
  • 发布博客,有人查看,可以轻松获取查看人的cookie信息
XSS预防
  • 替换特殊字符。例如:<变成&It>变成&gt,那么script就不会作为脚本执行
  • 可以使用https://www.npmjs.com/package/xss的xss工具
XSRF跨站请求伪造(类似于钓鱼链接)
  • 比如:攻击者想要购买一件商品,知道了购买的请求url等
  • 然后用发邮件形式,发送一个图片隐藏的链接<img src='xxx.com/pay?id=100'/>。图片可以跨域。
  • 如果收到的人已经登陆过这个购物网站,收到的人点击打开链接,此时就会将用户信息带过去,就会发送用点击链接的那个人的用户信息去购买
XSRF预防
  • 使用POST接口,因为使用POST接口跨域是需要serve端进行支持的
  • 增加验证,比如:密码验证码、指纹等

以上是关于前端安全XSS和XSRF的主要内容,如果未能解决你的问题,请参考以下文章

前端安全性

Web安全相关:跨站请求伪造(CSRF/XSRF)

Web安全相关:跨站请求伪造(CSRF/XSRF)

现代Web应用渗透测试第1部分,XSS和XSRF相结合

Web安全Csrf漏洞利用

python全栈系列之---xss跨站脚本攻击和csrf(xsrf)攻击