CSRF攻击、XSS攻击(待续)

CSRF

  1. 概念:
    CSRF全称为Cross Site Request Forgery,跨域请求伪造
  2. 原理:
    攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的。比如未登出银行网站时进入恶意网站点击链接携带者未被销毁的cookie访问银行网站,进行危险操作。
  3. 防范:
    利用cookie的sameSize属性规定其他网站不能使用本网站的cookie。
    使用token验证,再去验证用户身份。

XSS

  1. 概念
    XSS指跨站脚本攻击
  2. 原理
    是攻击者通过向被攻击网站注入恶意代码实现攻击,当被攻击者登录这些网站是就会执行恶意代码,读取cookie、session cookie以及其他敏感信息,对用户进行钓鱼欺诈,甚至发起蠕虫攻击等
  3. 防范
  4. 将容易导致XSS攻击的边角字符替换成全角字符
  5. 在输出数据之前对潜在的威胁的字符进行编码

参考

「安全系列之CSRF」如何防范csrf攻击
XSS 防御方法总结

posted @ 2022-11-01 20:46  badpear  阅读(23)  评论(0)    收藏  举报