资讯专栏INFORMATION COLUMN

前端培训-初级阶段 - xss相关(2019-04-18)

VioletJack / 2514人阅读

摘要:前端最基础的就是。但是如果是盗窃,异常提交请求,这些就属于危险操作。可以用来伪装成其他用户操作,有可能就会造成财产上的损失。劫持有的时候运营商的劫持还是没办法。

前端最基础的就是 HTML+CSS+Javascript。掌握了这三门技术就算入门,但也仅仅是入门,现在前端开发的定义已经远远不止这些。前端小课堂(HTML/CSS/JS),本着提升技术水平,打牢基础知识的中心思想,我们开课啦(每周四)。

这块内容是在会后又加了一节(老板说要处理这块内容)。之前其实就做过一期这样的内容XSS_跨站脚本攻击

我们要讲什么?

xss 是什么?

攻击原理是什么?

危害

预防手段是什么?

web 安全还有什么是需要注意的

XSS 是什么?

XSS 攻击全称跨站脚本攻击 (Cross Site Scripting),是为不和层叠样式表 (Cascading Style Sheets, CSS) 的缩写混淆,故将跨站脚本攻击缩写为 XSS,XSS 是一种在web应用中的计算机安全漏洞,它允许恶意 web 用户将代码植入到提供给其它用户使用的页面中。

XSS 攻击原理

恶意攻击者往 Web 页面里插入恶意 javascript 代码。当其他用户浏览该页面时,嵌入的代码会被执行,从而达到恶意攻击用户的目的。

XSS 危害

常见于一些私人的博客,攻击者恶意评论,弹出alert,这种充其量也就是一个玩笑。
但是如果是盗窃cookie异常提交请求,这些就属于危险操作。cookie可以用来伪装成其他用户操作,有可能就会造成财产上的损失。

预防手段

首先我们来分析他攻击方式,在其他用户端执行了一段异常代码,那么我们不执行不就好了吗?

富文本情况,这个可属于重灾区,因为你不确定内容是什么,你还要原样输出。业界方案一般来说是白名单,比如说 等,故意破坏数据的。

toURL,这个就是判断存在不存在javascript:alert();的情况了。

页面 innerHTML 或者 write。这个怎么说呢,Vue 或者一些框架是没问题的,因为他们是插槽法,而不是拼接法。

toHtml,主要用于 jquery ,处理一些字符变成实体编码

toURL,也是用来判断javascript:alert();的情况

web 安全问题

XSS、CSRF、arp、xff、中间人攻击、运营商劫持、防暴刷

CSRF 一般来说就是页面直出一个token,每次请求都带上token。

劫持 https有的时候运营商的劫持还是没办法。

刷,这个略坑。

参考代码

参考文献以及资料

Web安全学习笔记
也是当初在网上找资料发现的。介绍的挺全面的。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/109390.html

相关文章

  • 前端培训-初级阶段(13) - 正则表达式

    摘要:前端培训初级阶段语法变量值类型运算符语句前端培训初级阶段内置对象函数前端培训初级阶段类模块继承基础内容知识我们会用到。 前端最基础的就是 HTML+CSS+Javascript。掌握了这三门技术就算入门,但也仅仅是入门,现在前端开发的定义已经远远不止这些。前端小课堂(HTML/CSS/JS),本着提升技术水平,打牢基础知识的中心思想,我们开课啦(每周四)。 该文为前端培训-初级阶段(1...

    suemi 评论0 收藏0
  • 前端培训-中级阶段(8)- jQuery元素属性样式操作(2019-08-01期)

    摘要:前端最基础的就是。对应,是标签的属性。获取匹配元素相对父元素的偏移。返回的对象包含两个整型属性和。一组包含作为动画属性和终值的样式属性和及其值的集合动画的额外选项。指示是否在效果队列中放置动画。 前端最基础的就是 HTML+CSS+Javascript。掌握了这三门技术就算入门,但也仅仅是入门,现在前端开发的定义已经远远不止这些。前端小课堂(HTML/CSS/JS),本着提升技术水平,...

    everfly 评论0 收藏0
  • 前端培训-中级阶段(8)- jQuery元素属性样式操作(2019-08-01期)

    摘要:前端最基础的就是。对应,是标签的属性。获取匹配元素相对父元素的偏移。返回的对象包含两个整型属性和。一组包含作为动画属性和终值的样式属性和及其值的集合动画的额外选项。指示是否在效果队列中放置动画。 前端最基础的就是 HTML+CSS+Javascript。掌握了这三门技术就算入门,但也仅仅是入门,现在前端开发的定义已经远远不止这些。前端小课堂(HTML/CSS/JS),本着提升技术水平,...

    james 评论0 收藏0
  • 前端培训-中级阶段(8)- jQuery元素属性样式操作(2019-08-01期)

    摘要:前端最基础的就是。对应,是标签的属性。获取匹配元素相对父元素的偏移。返回的对象包含两个整型属性和。一组包含作为动画属性和终值的样式属性和及其值的集合动画的额外选项。指示是否在效果队列中放置动画。 前端最基础的就是 HTML+CSS+Javascript。掌握了这三门技术就算入门,但也仅仅是入门,现在前端开发的定义已经远远不止这些。前端小课堂(HTML/CSS/JS),本着提升技术水平,...

    bang590 评论0 收藏0
  • XSS分析及预防

    摘要:分析及预防,又称跨站脚本,的重点不在于跨站点,而是在于脚本的执行。在这里需要强调一点的是,默认会禁止代码块的执行禁止内联事件处理函数禁止内联样式禁止和。 XSS分析及预防 XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。在WEB前端应用日益发展的今天,XSS漏洞尤其容易被开发人员忽视,最终可能造成对个人信息的泄漏。如今,...

    smartlion 评论0 收藏0

发表评论

0条评论

VioletJack

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<