首页 网络安全 网站防护 查看内容

简评XSS攻击和CSRF攻击的原理与防范

2021-9-30 14:11 2429 0

摘要: XSS 攻击和 CSRF 攻击1、XSS 攻击1. 概念XSS(Cross Site Scripting):跨域脚本攻击。2. 原理不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js ...
关键词: 网站 登录 输入 攻击 脚本 用户 请求 验证 校正 执行

XSS 攻击和 CSRF 攻击
1、XSS 攻击
1. 概念
XSS(Cross Site Scripting):跨域脚本攻击。

2. 原理
不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 js、hmtl 代码块等)。

3. 防范
编码;对于用户输入进行编码。
过滤;移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点)
校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。
HttpOnly。
4. 分类
反射型(非持久):点击链接,执行脚本
存储型(持久):恶意输入保存数据库,其他用户访问,执行脚本
基于 DOM:恶意修改 DOM 结构,基于客户端
2、CSRF 攻击
1. 概念
SRF(Cross-site request forgery):跨站请求伪造。

2. 原理
登录受信任网站 A,并在本地生成 Cookie。(如果用户没有登录网站 A,那么网站 B 在诱导的时候,请求网站 A 的 api 接口时,会提示你登录)。
在不登出 A 的情况下,访问危险网站 B(其实是利用了网站 A 的漏洞)。
3. 防范
token 验证;
隐藏令牌;把 token 隐藏在 http 请求的 head 中。
referer 验证;验证页面来源。
3、两者区别
CSRF:需要用户先登录网站 A,获取 cookie。XSS:不需要登录。
CSRF:是利用网站 A 本身的漏洞,去请求网站 A 的 api。XSS:是向网站 A 注入 JS 代码,然后执行 JS 里的代码,篡改网站 A 的内容。
本文出处: https://guoqiankun.blog.csdn.net/article/details/116698367
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部