XSS攻击(跨站脚本攻击)
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。
一、攻击主要途径
1、在代码区里有用户输入的内容
2、通过html的输入标签将用户输入的内容提交给接口
3、对普通的用户输入,页面原样内容输出
二、解决方法
过滤输入和转义输出
1、在输入方面对所有用户提交内容过滤非法字符,包括URL、查询关键字、http头、post数据等
2、对输入的字符实行长度控制
3、在脚本执行区中,不应该有用户输入
CSRF攻击(跨站请求伪造)
CSRF攻击通过盗用用户的身份,以用户的名义发送恶意请求。
一、原理
2009040916453171.jpg
从图可看出,要完成CSRF攻击,需要两个步骤:
1、登录受信任的网站,并在本地保存该网站的cookie
2、在保存的cookie未失效期间访问被攻击的网站
二、防御
1、客户端页面增加伪随机数
2、添加验证码,提交中带入验证码信息
3、One-Time Tokens(不同的表单包含一个不同的伪随机值)
链接
https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
来源:博客园
博客园著作权归作者所有,任何形式的转载都请联系作者获得授权并注明出处。
