前端安全之XSS，CSRF，网络劫持

原理：获取用户的Cookie

2. 攻击场景

---

• 评论区或者搜索框（可以输入的地方）

• URL上拼接js代码

3. 类型

---

1、存储型 Server

论坛发帖、商品评价、用户私信等等这些用户保存数据的地方

攻击者将恶意代码提交到目标网站的数据库中，

用户开打该网站评论、内容的时候就会被攻击，

用户浏览器收到html代码后，混入其中的恶意代码就会被执行

比如获取用户的cookie信息，然后发送给攻击者的服务器。

在实际开发中，开发人员要增强安全意识，为用户的信息安全保驾护航。这其实就涉及XSS的防御，要对用户输入输出的特殊信息进行转换和过滤。

2、 反射型 Server

攻击者通过各种手段，诱导用户点击恶意URL，

通过URL传参数的过程，比如网站的搜索或者跳转

攻击者构造出特殊的 URL，其中包含恶意代码，这种攻击常见于通过 URL
传递参数的功能，将cookie传给攻击者的服务器，比如，在url参数上，http://localhost?name= 获取 get 方式传递的变量名为
name的变量值（值为一个字符串），然后显示在屏幕上，注意这中间并未对用户输入进行任何过滤。然后攻击者就可以通过输入
：或者javascript:alert('xss');或<进行攻击，

由于需要用户主动打开恶意的 URL 才能生效，攻击者往往会结合多种手段诱导用户点击，比如抽奖红包、美女图片、娱乐八卦，有a标签如
****其中xss为变量，是通过url获取的，这时候就需要对输入的

防御办法

• 开发人员需要对输入内容进行过滤和转译。对a连接跳转增加白名单 [‘http’,‘https’]判断

• 设置cookie为httponly ，可以禁止cookie通过脚本获取。

• 加入meta标签，csp (Content Security Policy) 防止页面被XSS攻击时，嵌入第三方的脚本文件

3、 DOM 型 Browser

无论是持久型XSS还是反射型XSS,
恶意的js脚本内容都需要由服务端返回给用户，而Dom型XSS型却例外吗，这里是属于前端代码的漏洞，攻击者将带有恶意链接的代码发给用户进行点击，前端代码获取到链接上的参数执行，如

var hash = location.hash.slice(1);

document.write(hash);

//或者

function domxss(){

var str = window.location.search;

var txss = decodeURIComponent(str.split(“text=”)[1]);

var xss = txss.replace(/+/g,’ ');

document.getElementById(“dom”).innerHTML = “跳转”;

}

如何防范XSS攻击呢?

主旨：防⽌攻击者提交恶意代码，防⽌浏览器执⾏恶意代码

• 对数据进⾏严格的输出编码：如HTML元素的编码，JS编码，CSS编码，URL编码等等

避免拼接 HTML；Vue/React 技术栈，避免使⽤ v-html / dangerouslySetInnerHTML

• CSP HTTP Header(内容安全策略），即 Content-Security-Policy（不⽀持CSP的旧版浏览器可以设置X-XSSProtection,

增加攻击难度，配置CSP(本质是建⽴⽩名单，由浏览器进⾏拦截)

Dom型XSS的防御，还是依赖于参数校验、过滤、转义等方法，以及加CSP(内容安全策略），它可以禁⽌加载外域代码, 禁⽌外域提交等等

Content-Security-Policy: default-src ‘self’ -所有内容均来⾃站点的同⼀个源（不包括其⼦

域名）

Content-Security-Policy: default-src ‘self’ *.trusted.com -允许内容来⾃信任的域名及其

⼦域名 (域名不必须与CSP设置所在的域名相同)

Content-Security-Policy: default-src https://lubai.com -该服务器仅允许通过HTTPS⽅式

并仅从lubai.com域名来访问⽂档

禁⽌加载外域代码，防⽌复杂的攻击逻辑。

禁⽌外域提交，⽹站被攻击后，⽤户的数据不会泄露到外域

• 输⼊验证：⽐如⼀些常⻅的数字、URL、电话号码、邮箱地址等等做校验判断

• 开启浏览器XSS防御：Http Only cookie，禁⽌ JavaScript 读取某些敏感 Cookie，攻击者完成

XSS 注⼊后也⽆法窃取此 Cookie。

• 验证码

CSRF（跨站请求伪造）

---

本质：使用用户的Cookie

![在这里插入图片描述](https://img-
blog.csdnimg.cn/699480be3ae5433295e24a6a24e07e23.png?x-oss-
process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_Q1NETiBA5YmN56uv5ZCM5a2m,size_33,color_FFFFFF,t_70,g_se,x_16)

受害者登录A站点，并保留了登录凭证（Cookie）。

攻击者诱导受害者访问了站点B。

站点B向站点A发送了一个请求，浏览器会默认携带站点A的Cookie信息。

站点A接收到请求后，对请求进行验证，并确认是受害者的凭证，误以为是无辜的受害者发送的请求。

站点A以受害者的名义执行了站点B的请求。

攻击完成，攻击者在受害者不知情的情况下，冒充受害者完成了攻击。

POST类型的CSRF

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！

王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。

对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！

【完整版领取方式在文末！！】

93道网络安全面试题

![](https://img-
blog.csdnimg.cn/img_convert/6679c89ccd849f9504c48bb02882ef8d.png)

![](https://img-
blog.csdnimg.cn/img_convert/07ce1a919614bde78921fb2f8ddf0c2f.png)

![](https://img-
blog.csdnimg.cn/img_convert/44238619c3ba2d672b5b8dc4a529b01d.png)

内容实在太多，不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

朋友们如果有需要的话，可以联系领取~

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图 。可以说是最科学最系统的学习路线 ，大家跟着这个大的方向学习准没问题。

![image](https://img-
blog.csdnimg.cn/img_convert/acb3c4714e29498573a58a3c79c775da.gif#pic_center)

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供：

![image-20231025112050764](https://img-
blog.csdnimg.cn/874ad4fd3dbe4f6bb3bff17885655014.png#pic_center)

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

![](https://img-
blog.csdnimg.cn/img_convert/d3f08d9a26927e48b1332a38401b3369.png#pic_center)

② 视频

![image1](https://img-
blog.csdnimg.cn/img_convert/f18acc028dc224b7ace77f2e260ba222.png#pic_center)

③ 书籍

![image2](https://img-
blog.csdnimg.cn/img_convert/769b7e13b39771b3a6e4397753dab12e.png#pic_center)

资源较为敏感，未展示全面，需要的最下面获取

![在这里插入图片描述](https://img-
blog.csdnimg.cn/e4f9ac066e8c485f8407a99619f9c5b5.png#pic_center)![在这里插入图片描述](https://img-
blog.csdnimg.cn/111f5462e7df433b981dc2430bb9ad39.png#pic_center)

② 简历模板

![在这里插入图片描述](https://img-
blog.csdnimg.cn/504b8be96bfa4dfb8befc2af49aabfa2.png#pic_center)

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

学习计划安排

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

黑客/网络安全学习路线

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

网络安全学习资源分享:

下面给大家分享一份2025最新版的网络安全学习路线资料，帮助新人小白更系统、更快速的学习黑客技术！

一、2025最新网络安全学习路线

一个明确的学习路线可以帮助新人了解从哪里开始，按照什么顺序学习，以及需要掌握哪些知识点。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

读者福利 | CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

我们把学习路线分成L1到L4四个阶段，一步步带你从入门到进阶，从理论到实战。

L1级别:网络安全的基础入门

L1阶段：我们会去了解计算机网络的基础知识，以及网络安全在行业的应用和分析；学习理解安全基础的核心原理，关键技术，以及PHP编程基础；通过证书考试，可以获得NISP/CISP。可就业安全运维工程师、等保测评工程师。

L2级别：网络安全的技术进阶

L2阶段我们会去学习渗透测试：包括情报收集、弱口令与口令爆破以及各大类型漏洞，还有漏洞挖掘和安全检查项目，可参加CISP-PTE证书考试。

L3级别：网络安全的高阶提升

L3阶段：我们会去学习反序列漏洞、RCE漏洞，也会学习到内网渗透实战、靶场实战和技术提取技术，系统学习Python编程和实战。参加CISP-PTE考试。

L4级别：网络安全的项目实战

L4阶段：我们会更加深入进行实战训练，包括代码审计、应急响应、红蓝对抗以及SRC的挖掘技术。并学习CTF夺旗赛的要点和刷题

整个网络安全学习路线L1主要是对计算机网络安全的理论基础的一个学习掌握；而L3 L4更多的是通过项目实战来掌握核心技术，针对以上网安的学习路线我们也整理了对应的学习视频教程，和配套的学习资料。

二、技术文档和经典PDF书籍

书籍和学习文档资料是学习网络安全过程中必不可少的，我自己整理技术文档，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，（书籍含电子版PDF）

三、网络安全视频教程

对于很多自学或者没有基础的同学来说，书籍这些纯文字类的学习教材会觉得比较晦涩难以理解，因此，我们提供了丰富的网安视频教程，以动态、形象的方式展示技术概念，帮助你更快、更轻松地掌握核心知识。

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

四、网络安全护网行动/CTF比赛

学以致用 ，当你的理论知识积累到一定程度，就需要通过项目实战，在实际操作中检验和巩固你所学到的知识，同时为你找工作和职业发展打下坚实的基础。

五、网络安全工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

面试不仅是技术的较量，更需要充分的准备。

在你已经掌握了技术之后，就需要开始准备面试，我们将提供精心整理的网安面试题库，涵盖当前面试中可能遇到的各种技术问题，让你在面试中游刃有余。

如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

**读者福利 |** CSDN大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）