XSS 攻击和 CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?

最新推荐文章于 2025-05-18 01:03:28 发布
最新推荐文章于 2025-05-18 01:03:28 发布
阅读量2k 收藏 9
点赞数 1
CC 4.0 BY-SA版权
分类专栏: js 浏览器 javascript 文章标签: 安全 xss csrf javassist
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoqiankunmiss/article/details/116698367
本文详细介绍了两种常见的Web安全攻击方式:XSS(跨站脚本攻击)与CSRF(跨站请求伪造)。XSS攻击通过注入恶意脚本篡改网页内容,而CSRF则利用已登录状态发起非法请求。文章还提供了防范措施及两者的区别。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS 攻击和 CSRF 攻击

1、XSS 攻击

1. 概念

XSS(Cross Site Scripting):跨域脚本攻击。

2. 原理

不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 jshmtl 代码块等)。

3. 防范
  1. 编码;对于用户输入进行编码。
  2. 过滤;移除用户输入和事件相关的属性。(过滤 scriptstyleiframe 等节点)
  3. 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。
  4. HttpOnly
4. 分类
  • 反射型(非持久):点击链接,执行脚本
  • 存储型(持久):恶意输入保存数据库,其他用户访问,执行脚本
  • 基于 DOM:恶意修改 DOM 结构,基于客户端

2、CSRF 攻击

1. 概念

SRF(Cross-site request forgery):跨站请求伪造。

2. 原理
  1. 登录受信任网站 A,并在本地生成 Cookie。(如果用户没有登录网站 A,那么网站 B 在诱导的时候,请求网站 Aapi 接口时,会提示你登录)。
  2. 在不登出 A 的情况下,访问危险网站 B(其实是利用了网站 A 的漏洞)。
3. 防范
  1. token 验证;
  2. 隐藏令牌;把 token 隐藏在 http 请求的 head 中。
  3. referer 验证;验证页面来源。

3、两者区别

  1. CSRF:需要用户先登录网站 A,获取 cookieXSS:不需要登录。
  2. CSRF:是利用网站 A 本身的漏洞,去请求网站 AapiXSS:是向网站 A 注入 JS 代码,然后执行 JS 里的代码,篡改网站 A 的内容。
一、web安全xss/csrf)简单攻击原理防御方案(理论篇)
wuli1024的博客
12-28 1879
原理:恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。
信息安全与网络安全有什么区别
2401_84297944的博客
04-29 944
信息安全包含哪些内容?1、硬件安全:即网络硬件存储媒休的安全。要保护这些硬设施不受损害,能够正常工作。2、软件安全:即计算机及其网络 r 各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。3、运行服务安全:即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。4、数据安全:即网络中存在及流通数据的安全
CSRFXSS区别
weixin_44475084的博客
03-23 1479
CSRF CSRF的基本概念、缩写、全称攻击原理防御措施如果把攻击原理防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发cookie。 从上图...
XSS攻击CSRF攻击
qq_53414785的博客
05-18 190
XSS(Cross-Site Scripting)是一种常见的 Web 安全漏洞,攻击者通过在目标网站注入恶意脚本(如 JavaScript),使浏览器执行这些脚本,从而窃取用户数据、会话信息或控制用户行为。1.反射型XSS服务器未对参数过滤直接返回给浏览器执行,指的是服务器在处理用户输入(如 URL 参数、表单数据)时,未对其中的特殊字符(如<script>标签)进行过滤或转义,直接将这些内容嵌入到响应 HTML 中返回给浏览器。浏览器会将这些恶意内容视为合法代码执行,从而导致 XSS 攻击
014_浅说 XSSCSRF
weixin_30583563的博客
07-16 801
在 Web 安全领域中,XSS CSRF 是最常见的攻击方式。本文将会简单介绍 XSS CSRF 的攻防问题。 声明:本文的示例仅用于演示相关的攻击原理 XSS XSS,即 Cross Site Script,中译是跨站脚本攻击;其原本缩写是 CSS,但为了层叠样式表(Cascading Style Sheet)有所区分,因而在安全领域叫做 XSSXSS 攻击是指攻击...
XSS攻击CSRF攻击
Dax1_的博客
04-08 1万+
XSS攻击 什么是XSS Cross-Site Scripting(跨站脚本攻击),简称XSS,是一种代码注入攻击攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全 XSS的注入方法 简单来说,任何可以输入的地方都有可能引起XSS攻击,包括URL 在HTML内嵌的文本中,恶意内容以script标签形成注入 在内联的JavaScript中,拼接的数据突破了原本的限制(字符串,变量,方法名)等 在标
xss crsf
08-10 371
crsf 攻击CSRF(Cross-site request forgery),中文名称:跨站请求伪造) CSRF攻击原理 1. 用户C打开浏览器,访问受信任网站A,输入用户名密码请求登录网站A; 2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A...
csrf 以及 csrfxss区别
03-14
# 示例代码展示如何生成随机token用于抵御CSRF攻击 import secrets def generate_csrf_token(): return secrets.token_hex(16) csrf_token = generate_csrf_token() print(f"Generated CSRF Token: {csrf_token}...
黑盒测试、白盒测试以及灰盒测试的区别在哪里?分别适用于哪些场景下使用呢? 边界值分析法(Boundary Value Analysis,BVA) 等价类划分(Equivalence Partitioning,EP) 的原理及其应用场景有哪些区别? 请解释一下冒烟测试(Smoke Testing),验收测试(Acceptance Testing),回归测试(Regression Testing)? 它们各自的目的又是什么呢? 自动化测试工具的选择标准应该考虑哪几个因素?目前主流的企业级自动化框架都有哪些特点值得推荐学习实践应用呢? 性能测试的主要指标包括什么内容? 如何评估系统的负载能力响应速度表现情况是否达到预期水平设定范围之内呢? 安全漏洞扫描属于哪个层面的工作范畴内的事情呀? 对于Web应用程序来说最容易受到攻击的地方通常集中在什么地方呢?? 接口测试(interfacing testing )具体是指针对什么样的对象开展活动呢 ?? 又是如何保证不同模块之间交互正常运行无误的前提下实现高效沟通交流机制建立起来呢???
最新发布
06-25
常见的Web应用攻击向量有SQL注入(SQLi)、跨站脚本(XSS)、跨站请求伪造(CSRF)、文件包含漏洞(LFI/RFI)以及命令执行漏洞等。 为了防范这些问题,除了定期执行静态代码分析动态渗透测试外,还需要遵循OWASP Top 10...
Web原理及应用:微博—代码重构
06-13
在微博应用中,这可能包括防止SQL注入、XSS攻击CSRF攻击等。可以使用预编译语句防止SQL注入,对用户输入进行过滤或转义处理以防御XSS,以及实施CSRF令牌来防止跨站请求伪造。此外,还应考虑数据加密、权限控制...
计网简简单单复习一下
weixin_43739821的博客
09-11 1351
计算机网络基础 HTTP TCP IP ARP PING WebSocket 网络攻击 CDN 跨域
XSS攻击CSRF攻击及其区别
meimeib的博客
07-16 2070
XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式。 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以达到攻击的目标,目前有很多攻击者利用论坛、微博发布含有恶意脚本的URL就属于这种方式) 持久型攻击(将恶意脚本提交到被攻击网站的数据库中,用户浏览网页时,恶意脚本从数据库中被加载到页面执行,QQ邮箱的早期版本就曾经被利用作为持久型跨站脚本攻击的平台)。 XSS虽然不是什么新鲜玩意,但
浅析XSSCSRF攻击及防御
koastal的博客
10-23 8249
XSS攻击CSRF攻击XSSCSRF的关系XSS防御CSRF防御总结以上介绍的攻击防御方法都是一些基本的情况,所介绍的防御机制并不能保证绝对安全,但是应该可以防御一般的攻击情况了,我们做了这些处理总是比没做要好,不是么?
CSRFXSS区别预防
vinter_he
03-26 1万+
名词解释 CSRF(Cross-site request forgery)跨站请求伪造 XSS (Cross-site scripting)跨站脚本攻击,这里缩写css被前端层叠样式表(Cascading Style Sheets)占用了,为了区分就叫了xss攻击手段描述 CSRF 攻击场景描述:假设你登陆了a网站,此时你又打开了b网站的某个页面,b网站的某个页面上有一段代码,可能是一个自...
XSSCSRF 攻击——有什么区别,如何加以防护
HoewDec的博客
04-03 2027
在站点上存储攻击会放大攻击的严重性可能性,因为受害者用户现在肯定会查看CSRF加载的页面,并且也会自然地对该页面进行身份验证。CSRF 攻击利用 Web 应用程序中的一个安全漏洞,该漏洞无法区分经过身份验证的用户会话中的错误请求合法请求。这种攻击迫使不知情的用户登录到黑客控制的帐户。在存储式跨站攻击中,注入的恶意代码被永久地存储在易受攻击的web应用程序的不同组件中,如数据库、评论字段、访客日志、消息论坛等。三、CSRF攻击的范围有限,仅限于用户可以执行的操作,例如点击恶意链接或访问黑客的网站。
前端系统复习之安全
李天下
09-04 301
CSRF CSRF的基本概念、缩写、全称 攻击原理 防御措施 如果把攻击原理防御措施掌握好,基本没什么问题。 1、CSRF的基本概念、缩写、全称 CSRF(Cross-site request forgery):跨站请求伪造。 PS:中文名一定要记住。英文全称,如果记不住也拉倒。 2、CSRF攻击原理 用户是网站A的注册用户,且登录进去,于是网站A就给用户下发co...
XSSCSRF 攻击你了解多少呢
yinzhixiaxue的博客
02-17 862
例如,网页中存在一段 JavaScript 代码,它根据 URL 参数动态修改页面元素的 innerHTML 属性,攻击者可构造恶意 URL,使得该代码在处理 URL 参数时,将恶意脚本插入到 innerHTML 中,从而在浏览器渲染页面时执行恶意脚本。此外,结合请求的时间戳、用户行为模式等信息,建立动态的请求来源验证模型,提高验证的准确性与可靠性。当用户在已登录状态下,访问恶意网站时,恶意网站通过精心构造的请求,诱使浏览器自动携带用户在目标网站的身份认证信息(如 Cookie),向目标网站发送请求。
XSSCSRF区别防范
热门推荐
初夏0811的博客
04-22 2万+
XSS即Cross-Site-Scripting,跨站脚本攻击,为了不前端开发者中的层叠样式表(CSS)的名字冲突,故简称XSSCSRF即Cross-Site Request Forgery,跨站请求伪造。 CSRF有别于XSS,从攻击效果上,两者有重合的地方。从技术原理上看两者有本质的不同,XSS是在正常用户请求HTML页面中执行黑客提供的恶意代码;CSRF是黑客直接盗用用户浏...
浏览器原理--跨站脚本攻击XSS)、CSRF攻击
xuan的博客
06-07 2555
(1) XSS 全称是 Cross Site Scripting,为了与“CSS”区分开来,故简称 XSS,翻译过来就是“跨站脚本”。XSS 攻击是指黑客往 HTML 文件中或者 DOM 中注入恶意脚本,从而在用户浏览页面时利用注入的恶意脚本对用户实施攻击的一种手段。(2)恶意脚本都能做哪些事情(3)恶意脚本是怎么注入的1、在一个反射型 XSS 攻击过程中,恶意 JavaScript 脚本属于用户发送给网站请求中的一部分,随后网站又把恶意 JavaScript 脚本返回给用户。当恶意 JavaScript
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gqkmiss

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值