資訊專欄INFORMATION COLUMN
摘要:通過這種方式,攻擊者可以進行逐字猜解并最終獲取到完整的敏感數值。總結作為前端開發(fā)者,我們與用戶最近,也是網絡安全防護的第一道線,要時刻關注來自各方面的網絡攻擊,保障用戶信息的安全。
什么是CSS注入
大家對XSS攻擊都非常熟悉了,可能很少關注到CSS注入攻擊,以下行為有可能受到CSS注入攻擊:
從用戶提供的URL中引入CSS文件
CSS代碼中采用了用戶的輸入數據
可以看下以下兩個例子
https://www.owasp.org/index.p...
http://www.thespanner.co.uk/2...
CSS屬性選擇器讓開發(fā)者可以根據屬性標簽的值匹配子字符串來選擇元素。 這些屬性值選擇器可以做以下操作:
1.如果字符串以子字符串開頭,則匹配;
2.如果字符串以子字符串結尾,則匹配;
3.如果字符串在任何地方包含子字符串,則匹配;
4.屬性選擇器能讓開發(fā)人員查詢單個屬性的頁面HTML標記,并且匹配它們的值。
而在實際環(huán)境中,如果一些敏感信息會被存放在HTML標簽內,如CSRF token存儲在隱藏表單的屬性值中,這使得我們可以將CSS選擇器與表單中的屬性進行匹配,并根據表單是否與起始字符串匹配,加載一個外部資源,例如背景圖片,來嘗試猜測屬性的起始字母。通過這種方式,攻擊者可以進行逐字猜解并最終獲取到完整的敏感數值。
防御策略想要解決這個問題受害者可以在其服務器實施內容安全策略(CSP),防止攻擊者從外部加載CSS代碼。
總結作為前端開發(fā)者,我們與用戶最近,也是網絡安全防護的第一道線,要時刻關注來自各方面的網絡攻擊,保障用戶信息的安全。
參考文獻https://portswigger.net/kb/is...
https://www.freebuf.com/artic...
https://24ways.org/2018/secur...
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/114791.html
摘要:搞開發(fā)離不開安全這個話題,確保網站或者網頁應用的安全性,是每個開發(fā)人員都應該了解的事。阿里巴巴的安全團隊在實戰(zhàn)中發(fā)現,防御產品的核心是檢測技術和清洗技術。表示轉賬的目標賬戶,表示轉賬數目。 搞 Web 開發(fā)離不開安全這個話題,確保網站或者網頁應用的安全性,是每個開發(fā)人員都應該了解的事。本篇主要簡單介紹在 Web 領域幾種常見的攻擊手段。 1. Cross Site Script(XSS...
摘要:依賴注入并不限于構造函數作為經驗,注入最適合必須的依賴關系,比如示例中的情況注入最適合可選依賴關系,比如緩存一個對象實例。 本文翻譯自 Symfony 作者 Fabien Potencier 的 《Dependency Injection in general and the implementation of a Dependency Injection Container in P...
摘要:依賴注入和控制反轉,這兩個詞經常一起出現。一句話表述他們之間的關系依賴注入是控制反轉的一種實現方式。而兩者有大量的代碼都是可以共享的,這就是依賴注入的使用場景了。下一步就是創(chuàng)建具體的依賴內容,然后注入到需要的地方這里的等于這個對象。 前言 React 是一個十分龐大的庫,由于要同時考慮 ReactDom 和 ReactNative ,還有服務器渲染等,導致其代碼抽象化程度很高,嵌套層級...
閱讀 3485·2023-04-25 20:41
閱讀 2660·2023-04-25 16:40
閱讀 1432·2021-09-23 11:44
閱讀 1251·2021-09-10 10:51
閱讀 1681·2021-09-07 09:59
閱讀 1642·2019-12-27 12:08
閱讀 551·2019-08-30 15:44
閱讀 3334·2019-08-30 11:08
