web安全类

Posted ls-lansy

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了web安全类相关的知识,希望对你有一定的参考价值。

1、基本概念和缩写

2、攻击原理

3、防御措施

 

XSS:跨站脚本攻击 cross-site scripting

原理:向页面注入脚本,比如评论区,写入script

防御:

编码:对用户输入的数据进行 html Entity编码

过滤:移除用户删除的DOM属性,如onerror等;移除用户上传的style节点,script节点,iframe节点等

校正

CSRF:跨站伪造请求 Cross-site request forgery

用户一定要在网站A登录

防御:

  token验证:在登录网站A的时候,服务器会在本地存放一个token,在访问各种接口的时候,先验证token

  referer验证: referer就是页面来源,服务器判断URL的来源

  隐藏令牌:

xss与csrf的区别:

xss注入js,做js里面的事件;csrf利用本身的漏洞,自动帮你执行接口,而且用户需要先登录

 

以上是关于web安全类的主要内容,如果未能解决你的问题,请参考以下文章

小迪安全 Web安全 PHP开发 – 第十四天 – 个人博客项目&输入输出类&留言板&访问IP&UA头

web应用安全发展与介绍

小迪安全 Web安全 基础入门 – 第十三天 – PHP开发 – 个人博客项目&文件操作类&编辑器&上传下载删除读写

技术分享Web安全之XSS与SQL注入

网络安全学习-WEB安全常见漏洞

WEB安全之SQL注入