CSRF 和 XSS 攻击分析与防范

新时代的弩力2025-05-16 9:55

CSRF 和 XSS 攻击分析与防范

CSRF (跨站请求伪造)

什么是 CSRF?

CSRF (Cross-Site Request Forgery) 是一种攻击方式,攻击者诱使用户在已登录目标网站的情况下,执行非预期的操作。

攻击流程

  1. 用户登录可信网站 A
  2. 在不登出 A 的情况下访问恶意网站 B
  3. B 诱导用户点击链接或加载资源,向 A 发起请求
  4. A 的服务器认为这是用户的合法请求,执行操作

CSRF 防范措施

1. 使用 CSRF Token
python 复制代码 
# Django 示例
from django.middleware.csrf import get_token

def some_view(request):
    csrf_token = get_token(request)
    # 将 token 放入表单
    return render(request, 'template.html', {'csrf_token': csrf_token})

# 在表单中
<form method="post">
    {% csrf_token %}
    <!-- 其他表单字段 -->
</form>
javascript 复制代码 
// 设置 SameSite 属性
Set-Cookie: sessionid=xxxxxx; SameSite=Strict; Secure; HttpOnly
  • Strict: 完全禁止第三方 Cookie
  • Lax: 宽松模式,允许部分安全请求携带 Cookie
3. 检查 Referer/Origin 头部
python 复制代码 
# Flask 示例
from flask import request

@app.before_request
def check_referer():
    if request.method == "POST":
        referer = request.headers.get("Referer")
        origin = request.headers.get("Origin")
        if not (referer and referer.startswith("https://yourdomain.com")) and \
           not (origin and origin == "https://yourdomain.com"):
            abort(403)

XSS (跨站脚本攻击)

什么是 XSS?

XSS (Cross-Site Scripting) 是攻击者向网页注入恶意脚本,当其他用户访问时执行的攻击方式。

三种类型

  1. 存储型 XSS:恶意脚本存储在服务器上
  2. 反射型 XSS:恶意脚本作为请求的一部分返回
  3. DOM 型 XSS:完全在客户端执行的攻击

XSS 防范措施

1. 输入输出转义
javascript 复制代码 
// 转义 HTML
function escapeHtml(text) {
    const div = document.createElement('div');
    div.textContent = text;
    return div.innerHTML;
}

// 转义属性
function escapeAttr(value) {
    return value.replace(/"/g, '&quot;')
               .replace(/'/g, '&#39;')
               .replace(/</g, '&lt;')
               .replace(/>/g, '&gt;');
}
2. 使用 CSP (内容安全策略)
http 复制代码 
Content-Security-Policy: 
    default-src 'self';
    script-src 'self' https://trusted.cdn.com;
    img-src 'self' data:;
    style-src 'self' 'unsafe-inline';
    object-src 'none';
javascript 复制代码 
Set-Cookie: session=xxxxxx; HttpOnly; Secure; SameSite=Strict
  • HttpOnly: 防止 JavaScript 访问 Cookie
  • Secure: 仅通过 HTTPS 传输
4. 使用现代框架的安全特性
jsx 复制代码 
// React 自动转义
const userInput = "<script>alert('xss')</script>";
return <div>{userInput}</div>; // 安全,会被转义

// Vue 自动转义
<template>
  <div>{{ userInput }}</div> <!-- 安全,会被转义 -->
</template>

综合防御建议

  1. 最小权限原则:所有资源请求使用最小必要权限
  2. 定期更新:保持框架和库的最新版本
  3. 自动化测试:使用安全扫描工具如 OWASP ZAP
  4. 安全编码培训:提高团队安全意识

通过组合使用这些技术,可以显著降低 CSRF 和 XSS 攻击的风险。

相关推荐
wmm_会飞的@鱼2 小时前
FlexSim-汽车零部件仓库布局优化与仿真
服务器·前端·网络·数据库·数学建模·汽车
-XWB-3 小时前
【安全漏洞】网络守门员:深入理解与应用iptables,守护Linux服务器安全
linux·服务器·网络
还是朝夕3 小时前
OSPF路由协议 多区域
网络
消失的旧时光-19433 小时前
Android网络框架封装 ---> Retrofit + OkHttp + 协程 + LiveData + 断点续传 + 多线程下载 + 进度框交互
android·网络·retrofit
晴天¥4 小时前
阶段1--域名服务器
运维·服务器·网络
许愿OvO4 小时前
IP--MGER综合实验报告
网络·tcp/ip·智能路由器
thginWalker4 小时前
图解网络-小林coding笔记(持续更新)
网络·笔记
小刘|5 小时前
Https以及CA证书
网络·网络协议·https
Codeking__5 小时前
链表算法综合——重排链表
网络·算法·链表
热门推荐
01Qwen3-Coder 快速上手教程 | Qwen Code + Claude Code02扣子开源本地部署教程 丨Coze智能体小白喂饭级指南03Coze 开源了,送上保姆级私有化部署方案【建议收藏】04全球最强模型Grok4,国内已可免费使用!(附教程)05vue数据变化但页面不变06KGG转MP3工具|非KGM文件|解密音频07干翻 Typora!MilkUp:完全免费的桌面端 Markdown 编辑器!0801-开源版COZE-字节 Coze Studio 重磅开源!保姆级本地安装教程,手把手带你体验09腾讯还是太全面了,限时免费!超全CodeBuddy IDE保姆级教程!(附案例)10sqli-labs 靶场 less-8、9、10 第八关到第十关详解:布尔注入,时间注入