专注WEB开发 分享经验,沉淀知识

xss攻击与csrf攻击

 作者:chenxing  时间:2022-03-14 21:11  评论:

今天小知识梳理:xss攻击与csrf攻击

今天小知识梳理:xss攻击与csrf攻击

xss:跨站脚本攻击

攻击者可以在目标网站注入恶意代码到网页上,被浏览器执行了,获取些敏感信息。

攻击分三步:

  1. 恶意代码注入到网页(通过url、或者评论留言等接口)
  2. 用户访问该网页,触发恶意代码(一段收集用户敏感信息的代码)
  3. 收集敏感信息发送给攻击者服务器完成用户信息收集

防御: 防止注入:对用户收入内容做好过滤。对脚本标签的过滤。

csrf:跨站请求伪造

攻击者可以在自己的网站(恶意站点),向目标站点发起请求,被误认为是一个正常用户的请求。

攻击分三步:

  1. 在自己网页添加发起目标网站的请求。
  2. 用户访问该网页,触发本次请求。
  3. 由于网站请求用户信息并未过期(cookie等未过期),误认为是一个正常的用户请求。

防御: 增加接口认证的复杂度 tonken认证 禁止跨域请求

xss 和 csrf区别

xss可以收集网站用户信息等敏感数据。 csrf并不能收集任何信息,而是通过欺骗浏览器来让用户执行。

除特别注明外,本站所有文章均为作者原创。 或分享自己的编程经验,或探讨工作中的问题,或聊以人生趣事。 转载请注明出处来自 https://www.qiusuoweb.com/143.html

发布评论

 提交评论
有人回复时邮件通知我

 评论(0)

相关阅读

站长头像
chenxing(PHP攻城狮)

运营天数

总访问量

文章数量

-

-

-

交流群:157451741

新浪微博:草莽兴

 近期文章

聊聊国产化

 2024-08-24 15:56  97

内网穿透工具frp配置详情

 2024-07-18 22:30  192

mac在终端复制出现乱码00~ *** 01~

 2024-07-16 20:38  43

php html生成图片

 2024-07-08 20:25  82

scp命令使用说明

 2024-07-06 12:14  113

如何在当前目录打开终端

 2024-07-04 14:54  84

 最新评论

 tradeOff: 08月30日 10:19
在某些领域国产化是一个迫不得已的事儿
来源: 聊聊国产化
 sue: 07月03日 10:24
可以
来源: 微信小程序如何获取单个input值
 流年: 07月02日 11:31
不错的尝试
来源: 博客系统如何用markdown编辑器发布文章
 诚心: 09月29日 23:01
学到了
来源: 如何一次性推送百万级别的消息
 Nick: 04月14日 12:26
网上的资料还是太老,都只是取一个元素,解决了一大难题
来源: redis set集合取出一组数据并删除
 skywalker: 11月03日 18:21
简洁明了
来源: mysql 获取某个日期的前一天或后一天