【网络安全】Web安全防护从XSS到CSRF的攻防实战引言Web安全是现代应用开发中不可忽视的重要环节。随着Web应用的普及各种安全威胁也日益增多。本文将详细介绍常见的Web安全漏洞及其防护方法。一、XSS攻击与防护1.1 XSS类型类型说明攻击方式存储型XSS恶意代码存储在服务器用户浏览页面时执行反射型XSS恶意代码通过URL参数点击恶意链接时执行DOM型XSS恶意代码修改DOM在客户端执行1.2 XSS攻击示例// 存储型XSS攻击 // 用户在评论中输入 scriptalert(XSS)/script // 反射型XSS攻击 // URL参数 http://example.com/search?queryscriptalert(XSS)/script // DOM型XSS攻击 // 修改页面DOM document.getElementById(content).innerHTML userInput;1.3 XSS防护措施# 使用模板引擎自动转义 from jinja2 import Template template Template(div{{ user_input }}/div) rendered template.render(user_inputscriptalert(XSS)/script) # 输出: divlt;scriptgt;alert(quot;XSSquot;)lt;/scriptgt;/div # 手动转义 import html escaped html.escape(scriptalert(XSS)/script) # CSP配置 csp_config { default-src: self, script-src: self strict-dynamic, style-src: self, img-src: self data: }二、CSRF攻击与防护2.1 CSRF原理用户已登录网站A → 攻击者诱使用户访问网站B → 网站B向网站A发送请求 → 网站A执行操作2.2 CSRF攻击示例!-- 攻击者网站 -- img srchttp://bank.com/transfer?toattackeramount1000 width0 height0 !-- 自动发送请求 -- form actionhttp://bank.com/transfer methodPOST input typehidden nameto valueattacker input typehidden nameamount value1000 /form scriptdocument.forms[0].submit();/script2.3 CSRF防护措施# CSRF Token验证 from flask_wtf.csrf import CSRFProtect app Flask(__name__) app.config[SECRET_KEY] secret csrf CSRFProtect(app) # HTML模板中使用 form methodPOST {{ form.csrf_token }} input typetext nameusername button typesubmitSubmit/button /form # 验证Referer头 app.before_request def check_referer(): referer request.headers.get(Referer) if referer and not referer.startswith(https://example.com): abort(403)三、SQL注入攻击与防护3.1 SQL注入原理-- 正常查询 SELECT * FROM users WHERE username alice AND password 123; -- SQL注入攻击 -- 输入: OR 11 SELECT * FROM users WHERE username OR 11 AND password ; -- 攻击成功返回所有用户3.2 SQL注入防护# 使用参数化查询 import psycopg2 conn psycopg2.connect(dbnameexample) cur conn.cursor() # 安全方式使用参数化查询 cur.execute(SELECT * FROM users WHERE username %s, (username,)) # ORM方式 from sqlalchemy import create_engine from sqlalchemy.orm import sessionmaker engine create_engine(postgresql://user:passlocalhost/db) Session sessionmaker(bindengine) session Session() # SQLAlchemy自动防止SQL注入 users session.query(User).filter(User.username username).all()四、密码安全4.1 密码哈希import bcrypt # 哈希密码 password bmy_password salt bcrypt.gensalt() hashed bcrypt.hashpw(password, salt) # 验证密码 if bcrypt.checkpw(password, hashed): print(密码正确) else: print(密码错误) # 使用Passlib from passlib.context import CryptContext pwd_context CryptContext(schemes[bcrypt], deprecatedauto) hashed pwd_context.hash(my_password) verified pwd_context.verify(my_password, hashed)4.2 密码策略def validate_password(password): 密码验证策略 # 至少8个字符 if len(password) 8: return False # 包含数字 if not any(char.isdigit() for char in password): return False # 包含字母 if not any(char.isalpha() for char in password): return False # 包含特殊字符 special_chars !#$%^*()_-[]{}|;:,.? if not any(char in special_chars for char in password): return False return True五、身份认证与授权5.1 JWT认证import jwt from datetime import datetime, timedelta # 生成Token secret_key your-secret-key def generate_token(user_id): payload { user_id: user_id, exp: datetime.utcnow() timedelta(hours24) } return jwt.encode(payload, secret_key, algorithmHS256) # 验证Token def verify_token(token): try: payload jwt.decode(token, secret_key, algorithms[HS256]) return payload[user_id] except jwt.ExpiredSignatureError: return None except jwt.InvalidTokenError: return None5.2 OAuth2认证# OAuth2配置 from authlib.integrations.flask_client import OAuth oauth OAuth() oauth.register( namegoogle, client_idyour-client-id, client_secretyour-client-secret, access_token_urlhttps://accounts.google.com/o/oauth2/token, authorize_urlhttps://accounts.google.com/o/oauth2/auth, api_base_urlhttps://www.googleapis.com/oauth2/v1/, client_kwargs{scope: openid email profile} ) # 获取用户信息 app.route(/login/google) def google_login(): redirect_uri url_for(google_authorize, _externalTrue) return oauth.google.authorize_redirect(redirect_uri) app.route(/login/google/authorize) def google_authorize(): token oauth.google.authorize_access_token() user oauth.google.get(userinfo).json() # 创建或更新用户 return redirect(/)六、安全配置6.1 HTTPS配置server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/certificate.crt; ssl_certificate_key /path/to/private.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; # HSTS add_header Strict-Transport-Security max-age31536000; includeSubDomains; location / { proxy_pass http://localhost:8000; } }6.2 安全响应头from flask import Flask from flask_talisman import Talisman app Flask(__name__) Talisman(app, content_security_policy{ default-src: self, script-src: self, style-src: self, }) # 安全响应头 app.after_request def add_security_headers(response): response.headers[X-Content-Type-Options] nosniff response.headers[X-Frame-Options] DENY response.headers[X-XSS-Protection] 1; modeblock return response七、安全审计7.1 漏洞扫描# 使用OWASP ZAP扫描 zap-cli quick-scan -t http://localhost:8000 # 使用Nikto扫描 nikto -h example.com # 使用SQLMap检测SQL注入 sqlmap -u http://example.com/search?querytest7.2 日志监控import logging from logging.handlers import RotatingFileHandler logging.basicConfig( levellogging.INFO, format%(asctime)s - %(name)s - %(levelname)s - %(message)s, handlers[ RotatingFileHandler(app.log, maxBytes1024*1024, backupCount5) ] ) logger logging.getLogger(__name__) # 记录安全事件 def log_security_event(event_type, details): logger.warning(fSecurity event: {event_type} - {details})八、实战案例安全的用户认证系统8.1 注册流程app.route(/register, methods[POST]) def register(): data request.get_json() # 验证输入 if not validate_password(data[password]): return {error: 密码不符合要求}, 400 # 检查邮箱是否已存在 if User.query.filter_by(emaildata[email]).first(): return {error: 邮箱已注册}, 400 # 创建用户 user User( emaildata[email], password_hashpwd_context.hash(data[password]) ) db.session.add(user) db.session.commit() return {message: 注册成功}, 2018.2 登录流程app.route(/login, methods[POST]) def login(): data request.get_json() user User.query.filter_by(emaildata[email]).first() if not user or not pwd_context.verify(data[password], user.password_hash): log_security_event(failed_login, fFailed login attempt for {data[email]}) return {error: 邮箱或密码错误}, 401 # 生成Token token generate_token(user.id) return {token: token}, 200九、常见安全漏洞总结漏洞类型危害防护措施XSS窃取cookie、会话劫持输入过滤、输出转义、CSPCSRF伪造请求、未授权操作CSRF Token、Referer验证SQL注入数据泄露、数据篡改参数化查询、ORM密码泄露账户被盗强密码哈希、HTTPS会话劫持身份冒充JWT、安全cookie十、结语Web安全是一个持续的过程需要开发者时刻保持警惕。通过实施适当的安全措施可以有效保护应用和用户数据。本文介绍了常见的Web安全漏洞及其防护方法希望能帮助你构建更安全的应用。#网络安全 #Web安全 #XSS #CSRF
【网络安全】Web安全防护:从XSS到CSRF的攻防实战
发布时间:2026/5/21 4:36:14
【网络安全】Web安全防护从XSS到CSRF的攻防实战引言Web安全是现代应用开发中不可忽视的重要环节。随着Web应用的普及各种安全威胁也日益增多。本文将详细介绍常见的Web安全漏洞及其防护方法。一、XSS攻击与防护1.1 XSS类型类型说明攻击方式存储型XSS恶意代码存储在服务器用户浏览页面时执行反射型XSS恶意代码通过URL参数点击恶意链接时执行DOM型XSS恶意代码修改DOM在客户端执行1.2 XSS攻击示例// 存储型XSS攻击 // 用户在评论中输入 scriptalert(XSS)/script // 反射型XSS攻击 // URL参数 http://example.com/search?queryscriptalert(XSS)/script // DOM型XSS攻击 // 修改页面DOM document.getElementById(content).innerHTML userInput;1.3 XSS防护措施# 使用模板引擎自动转义 from jinja2 import Template template Template(div{{ user_input }}/div) rendered template.render(user_inputscriptalert(XSS)/script) # 输出: divlt;scriptgt;alert(quot;XSSquot;)lt;/scriptgt;/div # 手动转义 import html escaped html.escape(scriptalert(XSS)/script) # CSP配置 csp_config { default-src: self, script-src: self strict-dynamic, style-src: self, img-src: self data: }二、CSRF攻击与防护2.1 CSRF原理用户已登录网站A → 攻击者诱使用户访问网站B → 网站B向网站A发送请求 → 网站A执行操作2.2 CSRF攻击示例!-- 攻击者网站 -- img srchttp://bank.com/transfer?toattackeramount1000 width0 height0 !-- 自动发送请求 -- form actionhttp://bank.com/transfer methodPOST input typehidden nameto valueattacker input typehidden nameamount value1000 /form scriptdocument.forms[0].submit();/script2.3 CSRF防护措施# CSRF Token验证 from flask_wtf.csrf import CSRFProtect app Flask(__name__) app.config[SECRET_KEY] secret csrf CSRFProtect(app) # HTML模板中使用 form methodPOST {{ form.csrf_token }} input typetext nameusername button typesubmitSubmit/button /form # 验证Referer头 app.before_request def check_referer(): referer request.headers.get(Referer) if referer and not referer.startswith(https://example.com): abort(403)三、SQL注入攻击与防护3.1 SQL注入原理-- 正常查询 SELECT * FROM users WHERE username alice AND password 123; -- SQL注入攻击 -- 输入: OR 11 SELECT * FROM users WHERE username OR 11 AND password ; -- 攻击成功返回所有用户3.2 SQL注入防护# 使用参数化查询 import psycopg2 conn psycopg2.connect(dbnameexample) cur conn.cursor() # 安全方式使用参数化查询 cur.execute(SELECT * FROM users WHERE username %s, (username,)) # ORM方式 from sqlalchemy import create_engine from sqlalchemy.orm import sessionmaker engine create_engine(postgresql://user:passlocalhost/db) Session sessionmaker(bindengine) session Session() # SQLAlchemy自动防止SQL注入 users session.query(User).filter(User.username username).all()四、密码安全4.1 密码哈希import bcrypt # 哈希密码 password bmy_password salt bcrypt.gensalt() hashed bcrypt.hashpw(password, salt) # 验证密码 if bcrypt.checkpw(password, hashed): print(密码正确) else: print(密码错误) # 使用Passlib from passlib.context import CryptContext pwd_context CryptContext(schemes[bcrypt], deprecatedauto) hashed pwd_context.hash(my_password) verified pwd_context.verify(my_password, hashed)4.2 密码策略def validate_password(password): 密码验证策略 # 至少8个字符 if len(password) 8: return False # 包含数字 if not any(char.isdigit() for char in password): return False # 包含字母 if not any(char.isalpha() for char in password): return False # 包含特殊字符 special_chars !#$%^*()_-[]{}|;:,.? if not any(char in special_chars for char in password): return False return True五、身份认证与授权5.1 JWT认证import jwt from datetime import datetime, timedelta # 生成Token secret_key your-secret-key def generate_token(user_id): payload { user_id: user_id, exp: datetime.utcnow() timedelta(hours24) } return jwt.encode(payload, secret_key, algorithmHS256) # 验证Token def verify_token(token): try: payload jwt.decode(token, secret_key, algorithms[HS256]) return payload[user_id] except jwt.ExpiredSignatureError: return None except jwt.InvalidTokenError: return None5.2 OAuth2认证# OAuth2配置 from authlib.integrations.flask_client import OAuth oauth OAuth() oauth.register( namegoogle, client_idyour-client-id, client_secretyour-client-secret, access_token_urlhttps://accounts.google.com/o/oauth2/token, authorize_urlhttps://accounts.google.com/o/oauth2/auth, api_base_urlhttps://www.googleapis.com/oauth2/v1/, client_kwargs{scope: openid email profile} ) # 获取用户信息 app.route(/login/google) def google_login(): redirect_uri url_for(google_authorize, _externalTrue) return oauth.google.authorize_redirect(redirect_uri) app.route(/login/google/authorize) def google_authorize(): token oauth.google.authorize_access_token() user oauth.google.get(userinfo).json() # 创建或更新用户 return redirect(/)六、安全配置6.1 HTTPS配置server { listen 443 ssl; server_name example.com; ssl_certificate /path/to/certificate.crt; ssl_certificate_key /path/to/private.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256; # HSTS add_header Strict-Transport-Security max-age31536000; includeSubDomains; location / { proxy_pass http://localhost:8000; } }6.2 安全响应头from flask import Flask from flask_talisman import Talisman app Flask(__name__) Talisman(app, content_security_policy{ default-src: self, script-src: self, style-src: self, }) # 安全响应头 app.after_request def add_security_headers(response): response.headers[X-Content-Type-Options] nosniff response.headers[X-Frame-Options] DENY response.headers[X-XSS-Protection] 1; modeblock return response七、安全审计7.1 漏洞扫描# 使用OWASP ZAP扫描 zap-cli quick-scan -t http://localhost:8000 # 使用Nikto扫描 nikto -h example.com # 使用SQLMap检测SQL注入 sqlmap -u http://example.com/search?querytest7.2 日志监控import logging from logging.handlers import RotatingFileHandler logging.basicConfig( levellogging.INFO, format%(asctime)s - %(name)s - %(levelname)s - %(message)s, handlers[ RotatingFileHandler(app.log, maxBytes1024*1024, backupCount5) ] ) logger logging.getLogger(__name__) # 记录安全事件 def log_security_event(event_type, details): logger.warning(fSecurity event: {event_type} - {details})八、实战案例安全的用户认证系统8.1 注册流程app.route(/register, methods[POST]) def register(): data request.get_json() # 验证输入 if not validate_password(data[password]): return {error: 密码不符合要求}, 400 # 检查邮箱是否已存在 if User.query.filter_by(emaildata[email]).first(): return {error: 邮箱已注册}, 400 # 创建用户 user User( emaildata[email], password_hashpwd_context.hash(data[password]) ) db.session.add(user) db.session.commit() return {message: 注册成功}, 2018.2 登录流程app.route(/login, methods[POST]) def login(): data request.get_json() user User.query.filter_by(emaildata[email]).first() if not user or not pwd_context.verify(data[password], user.password_hash): log_security_event(failed_login, fFailed login attempt for {data[email]}) return {error: 邮箱或密码错误}, 401 # 生成Token token generate_token(user.id) return {token: token}, 200九、常见安全漏洞总结漏洞类型危害防护措施XSS窃取cookie、会话劫持输入过滤、输出转义、CSPCSRF伪造请求、未授权操作CSRF Token、Referer验证SQL注入数据泄露、数据篡改参数化查询、ORM密码泄露账户被盗强密码哈希、HTTPS会话劫持身份冒充JWT、安全cookie十、结语Web安全是一个持续的过程需要开发者时刻保持警惕。通过实施适当的安全措施可以有效保护应用和用户数据。本文介绍了常见的Web安全漏洞及其防护方法希望能帮助你构建更安全的应用。#网络安全 #Web安全 #XSS #CSRF
相关文章
phpenv终极指南:5分钟掌握PHP多版本管理的完整解决方案
phpenv终极指南:5分钟掌握PHP多版本管理的完整解决方案 【免费下载链接】phpenv Simple PHP version management 项目地址: https://gitcode.com/gh_mirrors/ph/phpenv 还在为不同PHP项目间的版本冲突而烦恼吗?phpenv为您提供了一站式PHP版本管理…
HCK代码实现原理:揭秘AI辅助学术分析的核心算法
HCK代码实现原理:揭秘AI辅助学术分析的核心算法 【免费下载链接】sala-do-futuro-script O HCK um script de anlise acadmica assistida por IA, projetado para auxiliar estudantes na resoluo de questes de tarefas e provas da plataforma sala do futuro. …
WSLg完整使用指南:让Linux图形应用在Windows上无缝运行
WSLg完整使用指南:让Linux图形应用在Windows上无缝运行 【免费下载链接】wslg Enabling the Windows Subsystem for Linux to include support for Wayland and X server related scenarios 项目地址: https://gitcode.com/gh_mirrors/ws/wslg 你是否曾经梦想…
104、自适应控制:模型参考自适应控制
自适应控制:模型参考自适应控制 从一次电机堵转说起 去年做一款伺服驱动器,客户反馈说带载启动时电机“咔咔”响,偶尔还飞车。我带着示波器去现场,发现电流波形在启动瞬间剧烈震荡,PID参数调了三天——轻载时稳如老狗,重载时抖成筛子。后来拆开电机看,发现负载端有个偏…
从匿名飞控到DIY四轴:手把手教你用ICM20602和Mahony算法搞定姿态解算(附完整STM32代码)
从零构建四轴飞行器姿态解算系统:ICM20602与Mahony算法实战指南 1. 为什么选择ICM20602作为飞行控制核心传感器 在嵌入式飞行器开发领域,传感器选型往往决定了整个系统的性能上限。ICM20602作为InvenSense推出的第六代运动处理芯片,相比常见的…
Linux网络编程实战:从Socket基础到高并发服务器设计
1. 项目概述:从套接字到应用,理解网络编程的基石当我们谈论Linux下的应用开发,尤其是那些需要与外界通信的程序时,“网络编程”是一个绕不开的核心技能。而“Internet Domain应用编程”这个听起来有些学术的标题,实际上…
ARMv8-A架构LDP与LDR内存加载指令详解
1. A64指令集内存加载指令概述在ARMv8-A架构的A64指令集中,LDP(Load Pair)和LDR(Load Register)是两类最基础且关键的内存加载指令。作为从事ARM架构开发多年的工程师,我经常需要在底层系统编程和性能优化中…
别再只读原始值了!MPU6050数据滤波与姿态解算入门:用STM32实现简易角度估算
从原始数据到稳定姿态:MPU6050滤波与解算实战指南 当你第一次成功读取MPU6050的原始数据时,可能会被那些不断跳动的数值弄得手足无措。这些看似杂乱的数据背后,隐藏着设备在三维空间中的运动秘密。本文将带你超越基础的数据读取,探…
别再只会拖模块了!用Simulink S-Function把C++算法集成到模型里的保姆级教程
从零实现Simulink与C的深度集成:以PID控制器为例的工程实践指南 在工业自动化和控制系统的开发中,Simulink因其直观的图形化建模能力而广受欢迎。然而,当面对复杂的算法实现或需要复用现有C代码库时,单纯依赖图形化模块往往显得力…
别只刷固件了!用MissionPlanner搞定四旋翼‘飘移’问题,校准compass_mot全流程
四旋翼飞行品质优化:MissionPlanner高级校准实战指南 当你的四旋翼无人机已经能够稳定起飞,却在定高模式下出现难以解释的飘移现象时,这往往意味着需要进入更深层次的飞控调校阶段。许多飞手在完成基础校准后便止步不前,殊不知电机…
科研学术篇---论文搜索方法
高效搜集和研读论文,是构建扎实知识体系的基石。要想做到“高效”与“高质”并重,需要把整个过程当作一个闭环系统来优化——从目标锁定、来源筛选、检索策略,到快速粗筛、深度内化、持续追踪,每一步都有对应的工具和心法。下面逐…
YOLOv11城市道路摩托车与自行车目标检测数据集-1569张-motorcycle-1_2
YOLOv11城市道路摩托车与自行车目标检测数据集 📊 数据集基本信息 目标类别: [‘bike’, ‘motorcycle’]中文类别:[‘自行车’, ‘摩托车’]训练集:1374 张验证集:130 张测试集:65 张总计:1569…
【实用小程序】超轻量级文件上传下载中心 (File Download Server)
站内源码及jar包下载 一、项目概述 文件下载中心一个基于 Java 内置 HTTP 服务器(com.sun.net.httpserver)构建的轻量级文件管理服务。它零第三方依赖,单 JAR 包即可运行,适合在内网环境或临时场景中快速搭建文件共享站点。 你的团队需要临时共享一批日志文件或交付物,…
py每日spider案例之某website之xin东方选课搜索接口(难度一般 扣取代码即可)
加密位置: 逆向接口参数: 逆向接口: const g = globalThis; g.window = g; g.self = g; g.location = {<
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南
终极轻量级Android文本编辑器Markor:多格式笔记应用完全指南 【免费下载链接】markor Text editor - Notes & ToDo (for Android) - Markdown, todo.txt, plaintext, math, .. 项目地址: https://gitcode.com/gh_mirrors/ma/markor 在移动设备上寻找一款…
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案
MPC-BE:基于DirectShow架构的专业级开源媒体播放解决方案 【免费下载链接】MPC-BE MPC-BE – универсальный проигрыватель аудио и видеофайлов для операционной системы Windows. 项目地址:…
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南
如何快速计算3D模型体积和重量:STL-Volume-Model-Calculator终极指南 【免费下载链接】STL-Volume-Model-Calculator STL Volume Model Calculator Python 项目地址: https://gitcode.com/gh_mirrors/st/STL-Volume-Model-Calculator 你是否曾经为3D打印项目…
通过Taotoken CLI工具一键配置团队开发环境与模型密钥
通过Taotoken CLI工具一键配置团队开发环境与模型密钥 1. CLI工具安装与基本使用 Taotoken提供的CLI工具可通过npm全局安装或直接使用npx运行。对于需要频繁使用CLI的团队,推荐全局安装: npm install -g taotoken/taotoken对于临时使用或项目级配置&a…