Web安全:XSS、CSRF等常见漏洞及防御措施
Web安全:XSS、CSRF等常见漏洞及防御措施
一、XSS(跨站脚本攻击)
定义与原理
XSS攻击指攻击者将恶意脚本(如JavaScript、HTML标签)注入到Web页面中,当用户访问该页面时,脚本在浏览器端执行,从而窃取用户信息、劫持会话或篡改页面内容。根据注入方式和持久性分为:
- 存储型XSS:恶意脚本存储在服务器数据库(如评论、留言板),持久存在,每次用户访问时触发。
- 反射型XSS:通过URL参数(如
https://example.com/search?q=<script>alert('XSS')</script>)注入,脚本反射到响应中,需用户点击恶意链接触发。 - DOM型XSS:脚本通过修改页面DOM结构(如通过
location.hash、innerHTML)执行,不依赖服务器端存储,但可能绕过传统输入过滤。
危害示例
- 窃取Cookie:通过
document.cookie获取用户身份信息,发送至攻击者服务器。 - 钓鱼攻击:在页面中插入伪造的登录框,诱导用户输入账号密码。
- 蠕虫传播:通过社交平台自动发送含恶意链接的消息,扩大攻击范围。
防御措施
- 输入/输出过滤与编码
- 对用户输入(如表单、URL参数)进行严格校验,过滤或转义特殊字符(如
<,>转为<,>)。 - 输出时根据上下文使用HTML实体编码、JavaScript编码或URL编码。
- 对用户输入(如表单、URL参数)进行严格校验,过滤或转义特殊字符(如
- HTTP-only Cookie
设置Cookie的HttpOnly属性,阻止JavaScript读取敏感Cookie(如Set-Cookie: session=XXX; HttpOnly),防止劫持会话。 - 内容安全策略(CSP)
- 通过
Content-Security-Policy头配置允许加载的资源源(如script-src 'elf'),禁止外部脚本执行。 - 可细粒度控制
script,style,img等资源的来源,防止XSS注入。
- 通过
- 上下文感知编码
根据数据用途(HTML、JavaScript、CSS)选择不同的转义函数,避免二次注入(如富文本编辑器需更复杂的过滤逻辑)。 - 沙箱环境
使用<iframe sandbox>或JavaScript沙箱限制嵌入内容的权限,即使发生XSS也无法访问主页面上下文。
二、CSRF(跨站请求伪造)
定义与原理
CSRF攻击利用用户已登录的身份,在用户不知情的情况下,通过第三方网站发送恶意请求到目标站点(如转账、修改密码)。攻击关键在于:
- 用户已通过认证,浏览器自动携带有效Cookie。
- 目标站点未验证请求是否由用户主动发起。
经典场景
攻击者在恶意网站嵌入以下代码:
<form action="https://bank.com/transfer" method="POST"><input type="hidden" name="amount" value="10000"><input type="hidden" name="toAccount" value="attacker">
</form>
<script> document.forms[0].submit(); </script>
当用户访问该页面时,浏览器自动向银行网站发送转账请求,若银行未验证CSRF令牌,则攻击成功。
防御措施
- CSRF令牌(同步令牌模式)
- 服务器生成随机令牌(如
_csrf参数或Cookie),嵌入到表单或请求头(如X-CSRF-Token)。 - 服务器验证请求中的令牌与用户会话中的令牌一致。
- 服务器生成随机令牌(如
- 双重提交Cookie
- 将CSRF令牌同时存储在Cookie和请求参数中,服务器需同时验证两者匹配(防御部分浏览器不发送
Referer的情况)。
- 将CSRF令牌同时存储在Cookie和请求参数中,服务器需同时验证两者匹配(防御部分浏览器不发送
- 验证Referer头
- 检查请求是否来自合法域名(如
Referer: https://example.com),但可被篡改或绕过(如移动应用请求常不带Referer)。
- 检查请求是否来自合法域名(如
- SameSite Cookie属性
- 设置
Cookie的SameSite属性(Strict或Lax):Strict:仅允许同站请求携带Cookie(完全阻止跨站请求)。Lax:允许部分GET请求(如链接点击)携带,但POST等危险请求仍需CSRF令牌。
- 设置
- 自定义请求头验证
- 要求所有敏感请求携带自定义头(如
X-Requested-With: XMLHttpRequest),服务器检查是否存在。
- 要求所有敏感请求携带自定义头(如
三、其他常见Web安全漏洞
- SQL注入
- 原理:未对用户输入进行参数化查询,导致攻击者拼接恶意SQL语句(如
' OR 1=1;--)。 - 防御:使用预编译语句(如
PreparedStatement)、避免动态拼接SQL、限制数据库用户权限。
- 原理:未对用户输入进行参数化查询,导致攻击者拼接恶意SQL语句(如
- 文件上传漏洞
- 原理:未验证上传文件类型或路径,导致攻击者上传Webshell(恶意脚本文件)。
- 防御:
- 白名单验证文件扩展名与MIME类型。
- 上传后服务器端二次检测(如文件头检查)。
- 存储文件到非Web根目录,避免直接访问。
- SSRF(服务器端请求伪造)
- 原理:应用通过用户提供的URL发起网络请求(如图片加载、文件下载),可被利用攻击内网资源。
- 防御:限制请求白名单、检查URL是否包含内网IP、使用代理隔离内外部请求。
- 认证与会话管理漏洞
- 弱密码/爆破:使用复杂密码策略、账户锁定机制。
- 会话固定攻击:生成随机会话ID,避免用户可预测。
- 过期未注销:设置合理会话超时时间,强制注销。
- 越权访问
- 水平越权:攻击者访问其他用户数据(如
/user/123改为/user/456)。 - 垂直越权:低权限用户执行高权限操作(如普通用户修改管理员信息)。
- 防御:基于角色权限控制(RBAC)、资源访问列表验证。
- 水平越权:攻击者访问其他用户数据(如
四、综合防御策略
- 安全开发流程
- SDLC集成:在开发各阶段(设计、编码、测试、部署)引入安全评审、自动化扫描(如SAST、DAST)。
- 代码审计:定期审查关键代码(如认证、数据库交互、文件处理)。
- 基础设施安全
- Web应用防火墙(WAF):拦截常见攻击特征,但需避免误报。
- HTTPS强制:使用TLS加密,防止中间人劫持。
- 防火墙/入侵检测系统:限制入站流量,监控异常请求。
- 日志与监控
- 记录关键操作日志(如登录、修改密码),实时分析异常行为(如高频请求、异常IP)。
- 使用安全信息和事件管理(SIEM)系统聚合告警。
- 第三方组件管理
- 定期更新依赖库,避免已知漏洞(如Log4j、Struts2)。
- 使用漏洞扫描工具(如NPM Audit、Dependabot)检测组件风险。
- 用户安全意识培训
- 教育用户识别钓鱼邮件、不点击未知链接、使用双因素认证。
五、实战建议
- 漏洞扫描工具:使用Burp Suite、OWASP ZAP进行手动渗透测试,或集成Acunetix、Nessus自动化扫描。
- 安全测试框架:采用OWASP Top 10作为漏洞检查基准,定期自查。
- 应急响应计划:预设漏洞发现与修复流程,确保快速响应。
总结
Web安全是攻防对抗的持续过程,需从输入验证、权限控制、安全配置、持续监控等多维度构建防御体系。需保持警惕,及时跟进最新漏洞与修复方案,才能有效降低风险。
相关文章:
Web安全:XSS、CSRF等常见漏洞及防御措施
Web安全:XSS、CSRF等常见漏洞及防御措施 一、XSS(跨站脚本攻击) 定义与原理 XSS攻击指攻击者将恶意脚本(如JavaScript、HTML标签)注入到Web页面中,当用户访问该页面时,脚本在浏览器端执行&…...
)
Java基础之数组(附带Comparator)
文章目录 基础概念可变参数组数组与ListComparator类1,基本概念2,使用Comparator的静态方法(Java 8)3,常用Comparator方法4,例子 排序与查找数组复制其他 基础概念 int[] anArray new int[10];只有创建对象时才会使用new关键字,所以数组是个…...
计算机组成与体系结构:补码数制二(Complementary Number Systems)
目录 4位二进制的减法 补码系统 🧠减基补码 名字解释: 减基补码有什么用? 计算方法 ❓为什么这样就能计算减基补码 💡 原理揭示:按位减法,模拟总减法! 那对于二进制呢?&…...
C#使用MindFusion.Diagramming框架绘制流程图(2):流程图示例
上一节我们初步介绍MindFusion.Diagramming框架 C#使用MindFusion.Diagramming框架绘制流程图(1):基础类型-CSDN博客 这里演示示例程序: 新建Windows窗体应用程序FlowDiagramDemo,将默认的Form1重命名为FormFlowDiagram. 右键FlowDiagramDemo管理NuGet程序包 输入MindFusio…...
【物联网-ModBus-RTU
物联网-ModBus-RTU ■ 优秀博主链接■ ModBus-RTU介绍■(1)帧结构■(2)查询功能码 0x03■(3)修改单个寄存器功能码 0x06■(4)Modbus RTU 串口收发数据分析 ■ 优秀博主链接 Modbus …...
Java应用10(客户端与服务器通信)
Java客户端与服务器通信 Java提供了多种方式来实现客户端与服务器之间的通信,下面我将介绍几种常见的方法: 1. 基于Socket的基本通信 服务器端代码 import java.io.*; import java.net.*;public class SimpleServer {public static void main(String…...
)
STM32学习之I2C(理论篇)
📢:如果你也对机器人、人工智能感兴趣,看来我们志同道合✨ 📢:不妨浏览一下我的博客主页【https://blog.csdn.net/weixin_51244852】 📢:文章若有幸对你有帮助,可点赞 👍…...
【C/C++】algorithm清单以及适用场景
文章目录 algorithm清单以及适用场景1 算法介绍1.1 分类1.2 非修改序列算法1.3 修改序列算法1.4 排序与堆算法1.5 集合操作算法(要求有序)1.5 查找算法1.6 二分查找算法(有序区间)1.7 去重与分区算法1.8 数值算法 <numeric>…...
Python_day47
作业:对比不同卷积层热图可视化的结果 一、不同卷积层的特征特性 卷积层类型特征类型特征抽象程度对输入的依赖程度低层卷积层(如第 1 - 3 层)边缘、纹理、颜色、简单形状等基础特征低高,直接与输入像素关联中层卷积层(…...
如何在mac上安装podman
安装 Podman 在 macOS 上 在 macOS 上安装 Podman 需要使用 Podman 的桌面客户端工具 Podman Desktop 或通过 Homebrew 安装命令行工具。 使用 Homebrew 安装 Podman: (base) ninjamacninjamacdeMacBook-Air shell % brew install podman > Auto-updating Hom…...
小黑一层层削苹果皮式大模型应用探索:langchain中智能体思考和执行工具的demo
引言 小黑黑通过探索langchain源码,设计了一个关于agent使用工具的一个简化版小demo(代码可以跑通),主要流程: 1.问题输入给大模型。 2.大模型进行思考,输出需要执行的action和相关思考信息。 3.通过代理&…...
CppCon 2015 学习:Intro to the C++ Object Model
这段代码展示了使用 make 工具来编译 C 程序的简单过程。 代码和步骤解析: C 代码(intro.cpp):#include <iostream> int main() { std::cout<<"hello world\n"; } 这是一个简单的 C 程序,它包…...
Go 语言中的 make 函数详解
Go 语言中的 make 函数详解 make 是 Go 语言中的一个内置函数,用于初始化切片(slice)、映射(map)和通道(channel)这些引用类型。这些类型必须在使用前通过 make 初始化&#x…...
阿里云ACP云计算备考笔记 (4)——企业应用服务
目录 第一章 企业应用概览 第二章 云解析 1、云解析基本概念 2、域名管理流程 3、云解析记录类型 4、域名管理 ① 开启注册局安全锁 ② 域名赎回 第二章 内容分发网络CDN 1、CDN概念 2、使用CDN前后对比 3、使用CDN的优势 4、阿里云CDN的优势 5、配置网页性能优化…...
用 NGINX 构建高效 SMTP 代理`ngx_mail_smtp_module`
一、模块定位与作用 协议代理 NGINX 监听指定端口(如 25、587、465 等),接收客户端的 SMTP 会话请求。代理层在会话中透明转发客户端的 EHLO、MAIL FROM、RCPT TO、DATA 等命令到后端 MTA。 认证控制 通过 smtp_auth 指令指定允许的 SASL 认…...
【前端】常用组件的CSS
1. button的样式修改 每个环节有五个不同的状态:link,hover,active,focus和visited. Link是正常的外观,hover当你鼠标悬停时,active是单击它时的状态,focus跟随活动状态,visited是你在最近点击的链接未聚焦时结束的状态。 纯CSS 以下为例子,按下后从浅紫到深紫。注…...
的系统性学习与认证路线)
【华为云学习与认证】以华为云物联网为基座的全栈开发(从物联网iot平台模块到应用展示、数据分析、机器学习、嵌入式开发等)的系统性学习与认证路线
总目标 学习以华为云物联网为基座的全栈开发(从物联网iot平台模块到应用展示、数据分析、机器学习、嵌入式开发等)的系统性学习与认证路线。计划包含阶段学习、技术文档、实操实际操作、开发路径与考证规划,提供职业生涯基础性规划。 注意&…...
OpenCV 键盘响应来切换图像
一、知识点 1、int waitKey(int delay 0); (1)、等待按键。 等待指定的毫秒数,返回按键的ASCII码。 (2)、返回值: int型,表示按键ASCII码。 若没有按键,指定时间过去,返回-1。 (3)、参数delay: 等待时间,单位毫…...
ARM SMMUv3简介(一)
1.概述 SMMU(System Memory Management Unit,系统内存管理单元)是ARM架构中用于管理设备访问系统内存的硬件模块。SMMU和MMU的功能类似,都是将虚拟地址转换成物理地址,不同的是MMU转换的虚拟地址来自CPU,S…...
C#提取CAN ASC文件时间戳:实现与性能优化
C#提取CAN ASC文件时间戳:实现与性能优化 在汽车电子和工业控制领域,CAN总线是最常用的通信协议之一。而ASC(ASCII)文件作为CAN总线数据的标准日志格式,广泛应用于数据记录和分析场景。本文将深入探讨如何高效地从CAN…...
hadoop集群datanode启动显示init failed,不能解析hostname
三个datanode集群,有一个总是起不起来。去查看log显示 Initialization failed for Block pool BP-1920852191-192.168.115.154-1749093939738 (Datanode Uuid 89d9df36-1c01-4f22-9905-517fee205a8e) service to node154/192.168.115.154:8020 Datanode denied com…...
Android 视图系统入门指南
1. View:界面的最小单位 本质:屏幕上的一个矩形区域,能显示内容或接收触摸。比喻:就像乐高积木,是组成界面的最小单位。常见子类: TextView(文字积木)、Button(按钮积木…...
浏览器工作原理05 [#] 渲染流程(上):HTML、CSS和JavaScript是如何变成页面的
引用 浏览器工作原理与实践 一、提出问题 在上一篇文章中我们介绍了导航相关的流程,那导航被提交后又会怎么样呢?就进入了渲染阶段。这个阶段很重要,了解其相关流程能让你“看透”页面是如何工作的,有了这些知识,你可…...
青少年编程与数学 01-011 系统软件简介 03 NetWare操作系统
青少年编程与数学 01-011 系统软件简介 03 NetWare操作系统 一、历史背景二、核心架构三、关键功能四、管理工具五、客户端支持六、版本演变七、衰落原因八、遗产与影响总结 摘要:NetWare 是早期网络操作系统的巅峰之作,其高性能文件服务、目录管理和容错…...
AI编程提示词
你是 IDE 的 AI 编程助手,遵循核心工作流(研究 -> 构思 -> 计划 -> 执行 -> 评审)用中文协助用户,面向专业程序员,交互应简洁专业,避免不必要解释。[沟通守则] 1. 响应以模式标签 [模式&#…...
Android学习总结-GetX库常见问题和解决方案
GetX库的常见问题 路由管理:Get.to() 后页面不跳转或卡顿? 问题: 明明调用了 Get.to(NextPage()),但页面没反应,或者感觉有延迟卡顿。这可能发生在较复杂的页面树或低端设备上。原因: …...
|从零开始的Pyside2界面编程| 用Pyside2打造一个AI助手界面
🐑 |从零开始的Pyside2界面编程| 用Pyside2打造一个AI助手界面 🐑 文章目录 🐑 |从零开始的Pyside2界面编程| 用Pyside2打造一个AI助手界面 🐑♈前言♈♈调取Deepseek大模型♈♒准备工作♒♒调用API♒ ♈将模型嵌入到ui界面中♈♈…...
React 中 HTML 插入的全场景实践与安全指南
在 React 开发过程中,我们常常会遇到需要插入 HTML 内容的场景。比如将服务端返回的富文本渲染到页面,还有处理复杂的 UI 结构,正确的 HTML 插入方式不仅影响页面展示效果,更关乎应用的安全性。 本文将详细探讨 React 中插入 HTM…...
一键更新依赖全指南:Flutter、Node.js、Kotlin、Java、Go、Python 等主流语言全覆盖
在现代软件开发中,依赖项扮演着至关重要的角色。保持依赖的最新状态不仅可以获得新特性和性能优化,还能修复已知安全漏洞。但在不同语言和框架中,依赖管理的方式差异很大。本篇文章将系统性讲解如何在各主流语言中实现“一键更新依赖”。 &am…...
Java异步编程难题拆解技术
异步编程基础与核心概念 异步编程模型与同步模型的对比 Java中异步编程的常见场景(IO密集型、高并发任务等) 关键术语:Future、CompletableFuture、回调、事件循环 Java异步编程的核心API与框架 Future接口的局限性及基本用法 Completable…...