web前端之安全类

迷南。 2023-07-20 15:58 25阅读 0赞

### 安全类 ###

*  CSRF
 *  xss

# CSRF #

1、基本概念和缩写  
通常称为**跨站请求伪造**  
2、攻击原理  
用户在注册网站A登陆过，在网站B引诱点击到A才能产生攻击，不然他会提示你注册  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L21hbzg3MTg2MzIyNA_size_16_color_FFFFFF_t_70]  
3、防御措施

**1、Token验证**  
注册成功或者访问成功后服务器向本地存一个token，引诱点击的时候会自动携带cookie，但是不会携带token，所以可以用token来做验证

**2、Referer验证**  
页面来源，referer判断页面来源是来自哪个站点的动作如果是通过，如果不是，一律拦截

**3、隐藏令牌**  
隐藏在http head头上

# xss #

[添加链接描述][Link 1]  
1、基本概念  
**跨域脚本攻击**  
2、攻击原理  
XSS反射型攻击  
XSS存储型攻击  
3、防御原理  
插入的JS不可执行  
（1）、编码

（2）、过滤  
![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L21hbzg3MTg2MzIyNA_size_16_color_FFFFFF_t_70 1]  
（3）、校正

**XSS与CF2的区别**  
XSS：向你页面注入js执行，js中做它想做的事情  
CF2：利用本身的漏洞执行你自己的接口，CF2依赖于登录网站

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L21hbzg3MTg2MzIyNA_size_16_color_FFFFFF_t_70]: /images/20230528/c84bac9ea7104c388dc2f9d98ad7fd3a.png
[Link 1]: http://www.imooc.com/learn/812
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L21hbzg3MTg2MzIyNA_size_16_color_FFFFFF_t_70 1]: /images/20230528/7aace9c60e3f4196bce605d42615dc3d.png

发表评论取消回复

表情：

评论列表（有 0 条评论，25人围观）

还没有评论，来说两句吧...

相关阅读

相关 web前端之错误监控类

错误监控类前端错误的分类错误的捕获方式上报错误的基本原理前端错误的分类 1、即时运行错误（代码错误） 2、资源加载错误错误的捕

雨点打透心脏的1/2处/ 2023年07月21日 11:24/ 0 赞/ 17 阅读

相关 web前端之算法类

算法类排序堆栈、队列、链表递归波兰式和逆波兰式排序快速排序：[https://segmentfault.com/a/11900

古城微笑少年丶/ 2023年07月21日 05:27/ 0 赞/ 20 阅读

相关 web前端之安全类

安全类 CSRF xss CSRF 1、基本概念和缩写通常称为跨站请求伪造 2、攻击原理用户在注册网站A登陆过，在网站B引诱点击到A才

迷南。/ 2023年07月20日 15:58/ 0 赞/ 26 阅读

相关 Web前端之通信类

通信类什么是同源策略及限制前后端如何通信如何创建Ajax 跨域通信的几种方式什么是同源策略及限制同源策略限制从一个源加载的文档或

心已赠人/ 2023年07月20日 10:36/ 0 赞/ 29 阅读

相关 web前端之 HTTP协议类

HTTP协议类 HTTP协议的主要特点 HTTP报文的组成部分 HTTP方法 POST和GET的区别 HTTP状态码持久连接

雨点打透心脏的1/2处/ 2023年05月29日 09:20/ 0 赞/ 58 阅读

相关 Web前端安全之XSS攻击

什么是XSS XSS又称CSS，全称Cross SiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害

雨点打透心脏的1/2处/ 2022年05月28日 08:43/ 0 赞/ 380 阅读

相关前端进阶（五）web安全

一、XSS xss: 跨站脚本攻击（Cross Site Scripting，本来缩写是CSS，为了和层叠样式的CSS有所区别，所以在安全领域叫“XSS”。）是最常见和基

你的名字/ 2022年05月14日 14:30/ 0 赞/ 241 阅读

相关 web安全类

CSRF： CSRF（Cross-site request forgery），中文名称：跨站请求伪造，攻击原理：预防措施： Token验证 Ref

谁借莪１个温暖的怀抱￠/ 2022年03月06日 03:28/ 0 赞/ 268 阅读

相关 web安全类

CSRF： CSRF（Cross-site request forgery），中文名称：跨站请求伪造，攻击原理：预防措施： Token验证 Ref

朴灿烈づ我的快乐病毒、/ 2022年03月06日 03:28/ 0 赞/ 273 阅读

相关前端攻击/web安全

1.XSS攻击 > 跨站脚本攻击 > > 主要是通过html标签注入，篡改网页，插入恶意的脚本， > > 前端可能没有经过严格的校验直接就进到数据库， > >

比眉伴天荒/ 2022年01月29日 21:27/ 0 赞/ 395 阅读