XSS和CSRF

web安全策略和同源策略的意义

如果登陆了一个网站,不小心又打开另一个恶意网站,如果没有安全策略,则他可以对已登录的网站进行任意的dom操作、伪造接口请求等,因此安全策略是必要的;

浏览器的同源策略限制了非同源的域名之间不可以对DOM进行读写操作、不可以读取非同源的cookie、indexDB、localStorge等数据与资源

XSS-跨站脚本攻击

理解

由于实际业务不可能完全不引用第三方的资源,因此需要跨域访问,而支持第三方资源引用就会容易引起XSS攻击。XSS是一种代码注入攻击,攻击者在网站注入恶意脚本,在浏览器上运行,从而盗取用户cookie等信息。

危害特点

  • 窃取cookie信息,利用CORS将cookie上传到攻击者的服务器
  • 监听用户行为,比如利用addEventListener监听用户键盘事件,获取用户输入的用户名密码等
  • 修改DOM,伪造登陆窗口,骗取用户输入的用户名和密码等信息
  • 生成悬浮广告,在页面生成悬浮广告,诱导用户点击

攻击类型

  • 存储型XSS:攻击者将恶意脚本注入到有漏洞的服务器,当浏览器访问带有恶意脚本的页面时,就会上传用户信息到恶意服务器
  • 反射型XSS:攻击者诱导用户点击一个连接,然后将带有恶意代码的请求发送到服务器,服务器将恶意代码返回反射到浏览器,完成最终XSS攻击
  • 基于DOM的XSS:这个攻击方法不会涉及到服务器,是在web页面资源传输过程中或者用户使用web页面过程中 修改web页面的数据。这个劫持类型较多,例如本地软件劫持、路由器劫持

防御方法

无论是哪种攻击类型,他们的共同特点都是先将恶意脚本注入浏览器,然后将用户信息发送到恶意服务器。所以阻止XSS攻击要从防止浏览器脚本注入和阻止恶意消息的发送方面来实施。

  • 服务器对输入脚本关键字符进行过滤或转码(例如 将<script 转为 &lt;script&gt;)
  • 使用验证码,防止伪造用户提交
  • 对于不受信任的输入,限制输入长度
  • 使用HttpOnly属性标记cookie(HttpOnly属性标记的cookie只能用于请求携带,不能通过js访问)
  • 采用纯前端渲染。不使用服务器渲染,通过接口请求的方式,然后使用innerText、setAttrbute等方法设置内容与属性
  • 使用CSP安全策略。CSP的本质是建立白名单。可以指定哪些外部资源可以加载 ,来避免恶意第三方脚本的加载;也可以禁止向第三方域提交数据 ,防止信息外泄;还可以禁止执行内联脚本和未授权的脚本 ;还提供了上报机制,这样可以帮助我们尽快的发现有哪些XSS攻击,然后进行修复。

CRSF-跨域请求伪造攻击

理解

CRSF是指跨站请求伪造攻击,攻击者诱导用户进入第三方网站,在攻击者的网站中,利用用户的登陆状态伪造跨域请求,绕过服务器的用户验证,从服务器获取信息。

他的本质是利用同源请求会携带cookie发送到服务器,来冒充用户。

攻击类型

  • get类型:比如用户在网站中的img标签中构建一个请求,在用户点击时自动发送请求
  • post类型:比如构建一个隐藏的表单,在用户进入页面时自动提交
  • 链接类型:比如在a标签的href属性中构建一个请求,在用户点击的时候自动发送

防御方法

他的攻击特点是利用服务器的漏洞,因此主要是提升服务器的安全性

  • 利用cookie的SameSite属性。Strict-完全禁止第三方cookie;Lax-对于get链接的形式可以携带;None-没有任何限制
  • 验证请求的来源站点。服务器根据http请求头中的origin或referer判断是否为运行的站点,如果这两个值都不存在,则直接拒绝该请求。(缺点是有些情况referer也可以被伪造)
  • 使用CSRF Token验证。浏览器向服务器发起请求时,服务器生成一个随机的CSRF Token,当浏览器再次发送请求时携带此Token,服务器会根据这个token进行验证。(缺点是流程繁琐,每个请求都要携带Token;其次如果服务器搭载了负载均衡,如果请求被分配到其他服务器,这个服务器session中没有缓存这个token,也无法完成验证)
  • 对cookie进行双重验证。浏览器访问页面时,服务器向请求域名中注入一个随机字符串cookie,当用户再次访问时,获取cookie中的字符串并拼接到URL中,服务器根据参数中的字符串和cookie中的字符串进行对比,完成验证。(优点:比上述两种实现都为简单方便;缺点:如果同时遭遇了XSS攻击,则也将失效)
相关推荐
Marry1.07 分钟前
uniapp背景图用本地图片
前端·uni-app
夏河始溢13 分钟前
一七八、Node.js PM2使用介绍
前端·javascript·node.js·pm2
记忆深处的声音13 分钟前
vue2 + Element-ui 二次封装 Table 组件,打造通用业务表格
前端·vue.js·代码规范
陈随易14 分钟前
兔小巢收费引发的论坛调研Node和Deno有感
前端·后端·程序员
熊的猫29 分钟前
webpack 核心模块 — loader & plugins
前端·javascript·chrome·webpack·前端框架·node.js·ecmascript
速盾cdn35 分钟前
速盾:vue的cdn是干嘛的?
服务器·前端·网络
叫我龙翔1 小时前
【计网】实现reactor反应堆模型 --- 框架搭建
linux·运维·网络
四喜花露水1 小时前
Vue 自定义icon组件封装SVG图标
前端·javascript·vue.js
前端Hardy1 小时前
HTML&CSS: 实现可爱的冰墩墩
前端·javascript·css·html·css3
web Rookie2 小时前
JS类型检测大全:从零基础到高级应用
开发语言·前端·javascript