XSS与CSRF的有关总结

时间:2021-12-08 05:04:18
一、XSS
XSS是一种跨站脚本攻击,是一种网站应用程序的安全漏洞攻击,是代码注入的一种。
原理:利用网页开发时留下的漏洞,通过巧妙的方法注入恶意代码到网页,使用户加载执行时进行攻击。
恶意程序有:JS、JAVA、HTML等。
防范:
1、使用XSS过滤:输入过滤、输出转义
2、使用HttpOnly cookie:将重要的cookie标记为httpOnly,防止XSS攻击利用document.cookie访问cookie。
二、CSRF
CSRF是一种跨站点请求伪造攻击。
原理:
用户A登录了某个银行网站A,保留了cookie;
在cookie没有过期的前提下,用户A访问了危险网站B;
网站B上有一个img标签,其src属性并不是一张图片,而是一个http请求,该请求要求银行网站A做一些操作;
用户A就被攻击了。
防范:
1、验证码机制:确定请求是不是用户发出的;可以防范大部分CSRF攻击。