本章节将用于详细总结记录,跨站脚本攻击XSS
(cross site script
)与 跨站请求伪造CSRF
(cross site request forgery
)这两种常见的浏览器安全的攻防手段。本章节会介绍两种攻击的概念,以及相关手段有哪些,以及对应的防御手段:
XSS
(cross site script
)CSRF
(cross site request forgery
)XSS
1、概念:XSS
是一种经常出现在web
应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML
代码和客户端JS
脚本。
2、主要危害:盗取账号、窃取资料、非法转账、网站挂马等
3、工要攻击手段:反射型、存储型、DOM型
4、主要防御手段:输入输出过滤、长度限制、cookie
设置http-only
CSRF
1、概念:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。
2、主要危害:盗取账号、非法转账、发送邮件消息等
3、主要攻击手段:img等标签跨域GET请求、POST自动表单提交
4、主要防御手段:尽可能使用POST方式、验证码、验证 Referer、CSRF Token