XSS攻擊(跨站腳本攻擊)
XSS又叫CSS (Cross Site Script) ,跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼,當用戶瀏覽該頁之時,嵌入其中Web里面的html代碼會被執行,從而達到惡意的特殊目的。XSS屬于被動式的攻擊,因為其被動且不好利用,所以許多人常呼略其危害性。
一、攻擊主要途徑
1、在代碼區里有用戶輸入的內容
2、通過html的輸入標簽將用戶輸入的內容提交給接口
3、對普通的用戶輸入,頁面原樣內容輸出
二、解決方法
過濾輸入和轉義輸出
1、在輸入方面對所有用戶提交內容過濾非法字符,包括URL、查詢關鍵字、http頭、post數據等
2、對輸入的字符實行長度控制
3、在腳本執行區中,不應該有用戶輸入
CSRF攻擊(跨站請求偽造)
CSRF攻擊通過盜用用戶的身份,以用戶的名義發送惡意請求。
一、原理
2009040916453171.jpg
從圖可看出,要完成CSRF攻擊,需要兩個步驟:
1、登錄受信任的網站,并在本地保存該網站的cookie
2、在保存的cookie未失效期間訪問被攻擊的網站
二、防御
1、客戶端頁面增加偽隨機數
2、添加驗證碼,提交中帶入驗證碼信息
3、One-Time Tokens(不同的表單包含一個不同的偽隨機值)
鏈接
https://www.cnblogs.com/hyddd/archive/2009/04/09/1432744.html
來源:博客園
博客園著作權歸作者所有,任何形式的轉載都請聯系作者獲得授權并注明出處。
