xss攻击:

xss,也叫作css,cross-site-script,跨站脚本攻击,原理大致是将一段恶意的js代码注入到目标网站,用户浏览被注入的网站时就会被攻击。

常规来讲,有以下三种途径:

1.反射型

将恶意的js代码作为参数或者表单信息,提交给服务端,服务端没有对输入做校验或者处理,而是直接将参数嵌入到返回页面中,返回给用户,这样恶意的js代码就会在返回页面中被执行。

2.dom型

类似反射型,只是没有提交到服务端。直接在前端页面中执行。

3.持久性

恶意的js代码提交到服务端后被存储,下一次返回数据时,将js代码注入到返回页面中。这种类型的xss一旦被提交一次,将可能一直下发到返回页面中,很危险。

xss攻击的前提是注入js脚本,解决办法就是对任何用户输入都做校验或者转义,过滤输入中的<script>标签。

csrf攻击:

csrf,cross-site-request-forgery, 跨站请求伪造,原理大致是,冒用用户的cookie,来向服务器发送请求。

举个例子

用户A获得了server的验证,浏览器本地存有server的cookie,后续请求server都可以正常交互。

攻击者也知道该server的api,此时直接调用api,是不能正常请求的,因为没有cookie。当然,攻击者可以用自己的身份登录,就可以和server交互了,但是这样做,达不到攻击目的,因为攻击者的目标是以用户A的身份来和server交互。

除非拿到用户A的cookie才可以达到这个目的。

怎么做?

攻击者可以构造一个钓鱼页面,页面里有精心构造的js代码可以访问server的api。此时如果用户点开钓鱼网站,那么js代码就会执行,此时用的就是用户浏览器的cookie,那么用户在毫不知情的情况下访问了server,攻击者的目标达成。可以盗号,转账等。当然实际上一般的网站也不可能这么傻逼,这只是一个例子。

解决办法是在页面中下发token,每一次请求都必须将上一次的token带上,服务端对token做校验。由于token是在用户页面里的,攻击者拿不到,所以伪造会失败。

【http】xss和csrf 攻击相关推荐

  1. php csrf攻击 xss区别,XSS与CSRF攻击及防御方法

    前言 web安全这词可能对于服务端工程师来说更加"眼熟",部分前端工程师并不是十分了解,今天就来讲讲XSS攻击与CSRF攻击及防御方法 XSS XSS (Cross Site Sc ...

  2. XSS及CSRF攻击防御

    一.概念: XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Clic ...

  3. XSS、CSRF攻击以及预防手段

    文章目录 XSS 反射型 持久型 DOM型 XSS如何防御? CSRF XSS XSS全程Cross Site Scripting,名为跨站脚本攻击,是一种常见于 Web 应用中的计算机安全漏洞. 恶 ...

  4. XSS和CSRF攻击

    一.XSS攻击(跨脚本攻击) 是一种普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码到正常用户会访问到的页面中,当正常用户访问该页面时,则可导致嵌入的恶意脚本代码的执行,从而达到恶意攻 ...

  5. XSS、CSRF攻击

    同源策略: 同源指的是我们访问站点的:协议.域名.端口号必须一至,才叫同源. 浏览器默认同源之间的站点是可以相互访问资源和操作DOM的,而不同源之间想要互相访问资源或者操作DOM,那就需要加一些安全策 ...

  6. 第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击...

    第三百九十二节,Django+Xadmin打造上线标准的在线教育平台-sql注入攻击,xss攻击,csrf攻击 sql注入攻击 也就是黑客通过表单提交的地方,在表单里输入了sql语句,就是通过SQL语 ...

  7. php csrf攻击 xss区别,用大白话谈谈XSS与CSRF

    这两个关键词也是老生常谈了,但是还总是容易让人忘记与搞混~. XSS与CSRF这两个关键词时常被拉出来一起比较(尤其是面试),我在这里也在写一篇扫盲文,也帮自己整理一下知识脉络. 这篇文章会用尽量&q ...

  8. 总结 XSS 与 CSRF 两种跨站攻击

    在那个年代,大家一般用拼接字符串的方式来构造动态 SQL 语句创建应用,于是 SQL 注入成了很流行的攻击方式.在这个年代, 参数化查询 [1] 已经成了普遍用法,我们已经离 SQL 注入很远了.但是 ...

  9. 服务器安全:浏览器同源策略与跨域请求、XSS攻击原理及防御策略、如何防御CSRF攻击

    主要包括 浏览器同源策略与跨域请求 XSS攻击原理及防御策略 如何使用SpringSecurity防御CSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一.浏览器的同源策 ...

最新文章

  1. Fortify:五大SOA架构都有安全漏洞
  2. 由Android 65K方法数限制引发的思考
  3. python中意外缩进是什么意思_如何处理python中的“意外缩进”?
  4. Win11系统显示你的账户已被停用怎么办
  5. ant-pro使用Form表单验证上传图片出现的问题
  6. Linux学习笔记(二):cd命令的使用
  7. 大数据学习笔记40:Hive - 内置函数(3)
  8. 火车票售票系统mysql_今日开售!2020元旦火车票可以买了,春运首日车票也快了→...
  9. ubuntu查看本地ip
  10. ojdbc7加入本地maven仓库
  11. 【微信小程序】视频播放小程序
  12. postman控制台打印数据
  13. python--数据类型
  14. Scroller类的源码分析以及使用
  15. Mac上最好用的LaTeX编辑器:Texpad for Mac
  16. ERP : 总量库存管理
  17. 教师节祝福语太单调?来用PaddleHub生成独家祝福语
  18. 有哪一些测不准原理?
  19. [Dest0g3 misc] Pngenius,EasyEncode,知道js吗,StringTraffic,Easyword,Python_jail,codegame
  20. fck编辑器的使用(经典)

热门文章

  1. 其实我真的很嫌弃Java
  2. 2023系统分析师论文范文模板
  3. Java 面试题(一)
  4. Android——三行代码解决Android串口通讯
  5. 新安装的Ubuntu20.04 5.13上没有WIFI 看这一篇就够了
  6. Win10安装Matlab时出现连接错误(无法连接至MathWorks)的解决方法
  7. 思维能力----影响决策的经济效应
  8. HDU 1863畅通工程(最小生成树)(prim算法)
  9. mybatis连接池的3种配置方式(POOLED,UNPOOLED,JNDI)
  10. 唐老师讲运算放大器(第二讲)——运放的供电电压VS、输入偏置电流IB、噪声VN,输入失调电压VOS,增益带宽积,压摆率