XSS跨站请求攻击

一个博客网站,我发表了一篇文章,其中嵌入了<script>脚本

脚本内容:获取cookie,发送到我的服务器(服务器配合跨域)

发布了这篇博客,当有人查看他,我就能轻松收割访问者的cookie

XSS预防

替换特殊字符,如< 变为 &lt; > 变为 &gt;

<script>变为&lt;script&gt;,直接显示,而不会作为脚本进行执行

前端要替换,后端也要替换,都做总不会有错;

另外我们可以利用第三方工具xss 类库https://www.npmjs.com/package/xss进行替换处理

XSRF跨站请求伪造

你正在购物,看中了某件商品,商品的id是1

付费接口是xxx.com/pay?id=1,但是没有任何验证

我会攻击者,看中了一个商品,id是2

想法:想借用的身份,给我买

操作方法:

我向你发送一封电子邮件,邮件标题很吸引人

但邮件正文隐藏着<img src="xxx.com/pay?id=2" />

你一查看邮件,就帮我购买了id是200的商品

XSRF预防

使用post接口

增加验证,密码、短信验证码、指纹等

【安全-前端】XSS、XSRF相关推荐

  1. XSS XSRF 介绍与防范

    XSS Definition 存储型 XSS 反射型 XSS DOM 型 XSS DOM 型 XSS 跟前两种 XSS 的区别:DOM 型 XSS 攻击中,取出和执行恶意代码由浏览器端完成,属于前端 ...

  2. 前端xss攻击的原理

    概念说明 Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码,当用户浏览该页或者进行某些操作时,攻击者利用用户对原网站的信 ...

  3. 前端XSS 过滤--亲测有效

    // XSS 过滤         filterXSS: function (str) {             return str               .replace(/&/g ...

  4. 辉太郎看前端(xss,sql,CSRF)

    前言 网络安全也是开发过程中我们必须要考虑的. xss xss全称(cross-site scripting),xss攻击方式是攻击者往web页面里边插入恶意html或者javascript代码. 防 ...

  5. HCL AppScan Standard扫描有关前端Xss安全报告处理

    报告问题描述 1."X-Content-Type-Options"头缺失或不安全 2. "X-XSS-Protection"头缺失或不安全 3. HTTP St ...

  6. 前端技术学习路线及技术汇总

    第一阶段网页开发基础 首先从以下几个方面了解web: 一.Web的概述 1.万维网的发展 2.浏览器与服务器 3.网页与网站 4.域名与主机 5.HTTP协议 6.W3C标准 需要了解的核心是:浏览器 ...

  7. 写给自己,梳理一下我现在对前端知识结构的理解

    前排小广告:前端自学互助交流群:240528099 今天想着做一件事情,给自己的收藏夹分类.结果做着做着,发现这个任务的工作量超乎我的想象.有一些文章,可能很难界定说,它是哪一类的:而且自己还没有特别 ...

  8. 站点的安全防范都是后端的职责?非也,Web前端安全同样不可忽视

    前言 随着网络的快速普及,网络安全问题的受害者不再只是政府.企业等集体,每一个接触网络的普通人都有可能成为网络攻击的受害者.随着网络的普及,黑客进行网络攻击的手段越来也多,越来越复杂.以网站的攻击为例 ...

  9. 前端最实用书签(持续更新)

    前言 一直混迹社区,突然发现自己收藏了不少好文但是管理起来有点混乱; 所以将前端主流技术做了一个书签整理,不求最多最全,但求最实用. 书签源码 书签导入浏览器效果截图 书签源码请戳github地址 C ...

  10. 如何防止XSS攻击?

      随着互联网的高速发展,信息安全问题已经成为企业最为关注的焦点之一,而前端又是引发企业安全问题的高危据点.在移动互联网时代,前端人员除了传统的 XSS.CSRF 等安全问题之外,又时常遭遇网络劫持. ...

最新文章

  1. ubunntu安装php7.0_在 Ubuntu/Debian 下安装 PHP7.3 教程
  2. python之互斥锁
  3. 2021年春季学期-信号与系统-第十三次作业参考答案-第十小题
  4. php 变成 25,2020-09-25 PHP变量介绍
  5. python考证书-python能考证么
  6. 认识计算机ppt封面,认识计算机.ppt
  7. php 汉字转拼音类,PHP汉字转换拼音的类_php
  8. 【精品计划 附录2】- 算法分析
  9. python运维常用脚本
  10. [转][darkbaby]任天堂传——失落的泰坦王朝(上)
  11. 常用Excel函数使用示例(分列、VLOOKUP、COUNTIF、AND、绝对引用等)
  12. 使用360安全卫士对计算机进行体检,360安全卫士使用教程 电脑体检
  13. 非线性优化问题---MATLAB
  14. 进制转换之2进制与16进制之间的相互转换
  15. Golang FORM相关字段理解
  16. MapWinGIS4.9.3的二次开发
  17. 一连串数字怎么转换成二维码?数字生成二维码如何制作?
  18. hive数仓、数据中台数据核对的方法
  19. Excel按类别进行自动编号
  20. 平台卡卷API文档分享

热门文章

  1. python绘制时间序列图_python matplotlib 画dataframe的时间序列图实例
  2. 巧用Photoshop路径造型做连体字特效
  3. 求两个字符串的LCS(最长公共子串)后缀数组
  4. 怀念旧时那一丝丝温暖的味道
  5. 11-标准库fmt以及文件操作
  6. Could not resolve view with name 'xxx' in servlet with name 'dispatcherServlet',
  7. Scrapy框架流程图详解
  8. 怎么找到python的安装目录_怎么查看python的安装目录呢
  9. 探究MATLAB循环语句内部的变量
  10. Jquery的 each的使用 $.each()