csrf和XSS攻击分别是什么?

CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery):跨站请求伪造
CSRF的攻击原理:要完成一次CSRF攻击,受害者必须满足两个必要的条件:登录受信任网站A并在本地生成Cookie
在不登出A的情况下,访问危险网站B
CSRF如何防御:cookie设置httpOnly + token验证 + 隐藏令牌 + Referer验证

XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击
XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。

CSRF 和 XSS 的区别
1、CSRF是跨站请求伪造; XSS是跨域脚本攻击。
2、CSRF需要用户先登录网站A,获取cookie; XSS不需要登录。
3、CSRF是利用网站A本身的漏洞,去请求网站A的api; XSS是向网站A注入JS代码,然后执行JS里的代码,篡改网站A的内容。(XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。)

csrf和XSS攻击分别是什么?相关推荐

  1. csrf和xss攻击

    XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery) 在那个年代,大家一般用拼接字符串的方式来构造动态SQL 语 ...

  2. 基于CSRF的XSS攻击

    有些XSS不好利用啊,比如有些后台的XSS漏洞,你进不了别人的后台,怎么能 利用他的XSS漏洞呢?进得了别人的后台,还利用这个XSS漏洞干什么?其实这个时候可以种个后门(如果那是个持久型的XSS,这是 ...

  3. Web安全(四)---XSS攻击

    文章目录 XSS攻击 #1 什么是XSS攻击 #2 反射型XSS #3 存储型XSS #4 DOM Based XSS #5 防御 XSS 的几种策略 #5 XSS与CSRF区别 XSS攻击 #1 什 ...

  4. 手绘10张图,把CSRF跨域攻击、JWT跨域认证说得明明白白的

    作者 | 写代码的明哥 来源 | Python编程时光 这篇文章本应该是属于 HTTP 里的一部分内容,但是我看内容也挺多的,就单独划分一篇文章来讲下. 什么是跨域请求 要明白什么叫跨域请求,首先得知 ...

  5. 浅析:XSS攻击、SQL注入攻击和CSRF攻击

    1.XSS(Cross Site Script)攻击 跨站脚本攻击,是在用户浏览网页时向用户浏览器中执行恶意脚本的攻击方式. 跨站脚本攻击分有两种形式:反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以 ...

  6. XSS攻击和CSRF攻击及其区别

    XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式. 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击 ...

  7. 第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击...

    第三百九十二节,Django+Xadmin打造上线标准的在线教育平台-sql注入攻击,xss攻击,csrf攻击 sql注入攻击 也就是黑客通过表单提交的地方,在表单里输入了sql语句,就是通过SQL语 ...

  8. 服务器安全:浏览器同源策略与跨域请求、XSS攻击原理及防御策略、如何防御CSRF攻击

    主要包括 浏览器同源策略与跨域请求 XSS攻击原理及防御策略 如何使用SpringSecurity防御CSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一.浏览器的同源策 ...

  9. xss攻击和csrf攻击

    xss攻击:跨站脚本攻击 三种攻击方式:注入式攻击.反射型攻击.基于DOM的xss攻击 解决方式:过滤及转码:csp内容安全策略,通过头部或meta指定哪些脚本可以执行:httponly,只允许htt ...

最新文章

  1. 第十六届全国大学生智能车竞赛全国总决赛报名信息汇总
  2. Bootstrap的datatable控件
  3. 计算机中cmos设置程序,电脑主板上有CMOS设置是什么意思
  4. SAP Spartacus localStorage 里存储的 auth Token 过期时间
  5. JavaScript websocket 实例
  6. 深入理解python.md_从python角度,理解进程,线程,协程.md-Go语言中文社区
  7. JAVA如何插入MySql的datetime类型
  8. python抽荣耀水晶_大神代抽荣耀水晶,只需要49元,网友亲自体验,结果5分钟完成...
  9. 开发自己的博客转发插件(跨域)
  10. 一个老程序员“伯伯”的独白
  11. 微软删除了人脸识别库,除了因为隐私,更重要的恐怕是因为性别歧视和种族主义...
  12. 版权:大众保险被判向微软赔偿217万元
  13. 电商seo培训之卖家搜索优化步骤
  14. 任何共享软件作者都能挣到一年10万美金以上的收入,只要他想的话
  15. 分类模型中准确率、敏感度、特异度的理解
  16. Linux入门学习(十 三)—— 怎么给指定用户发送信息? 怎么发送广播消息?
  17. Log4j 漏洞修复检测 附检测工具
  18. 给普通人的Python——第四章
  19. android 触摸 事件,Android触屏事件和MotionEvent详解
  20. linux - grep命令

热门文章

  1. BoostAsyncSocket 异步反弹通信案例
  2. win10 CPU占用率过高 经常100%
  3. 阿里云ECS同区域不同账户内网互相访问配置
  4. 编程语言进化史《禅与计算机程序设计艺术》 / 陈光剑
  5. 精选SpringBoot笔记,华为19级高工亲撰1700页笔记真的太强了
  6. 计算机检测维修的英语缩写,(完整版)必须懂的53个电脑英文缩写(2页)-原创力文档...
  7. php 如何去掉换行符,php如何去掉换行符
  8. Modbus串口设备模拟器-DevSimulate(Slave+自定义逻辑)
  9. 40张PPT完整解析字节跳动人力资源体系(附PPT)
  10. 性能测试之cpu 分析