1,XSS(Cross Site Scripting)跨站脚本攻击
(用户对指定网页的信任)
攻击者在网页嵌入客户端脚本(如JavaScript),当用户浏览网页时,浏览器运行脚本,达到攻击者的目的,如获取cookie,导航到恶意网站,携带木马等。
如:用户A在某个论坛评论区,添加获取登录cookie的JavaScript脚本,用户B登录后,浏览器自动运行用户A加入到评论区的脚本获取用户B的登录名和密码,窃取用户B的隐私。
图片.png
XSS的成因及如何避免:
图片.png
图片.png
总结:不要让用户输入类似HTML代码或JavaScript代码
1)验证输入内容:验证输入内容,并把可以符号变成HTML实体或转义
2)自己不要坑自己:不要原样输出用户输入的内容
2,CSRF(Cross Site Request Forgery)跨站请求伪造
(网站对用户浏览器网页的信任)
挟持用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法
列如:
图片.png
防止CSRF攻击:
1)检查Referer字段(http头部字段)
2)添加校验token(类似验证码),用户输入验证码信息,把输入的验证码和随机生成的验证码一并提交到服务器供服务器检验
3,SQL注入
https://github.com/astaxie/build-web-application-with-golang/blob/master/zh/09.4.md
