XSS和CSRF简单理解

1.什么是 XSS ？
跨站脚本攻击（Cross Site Scripting)，为了不和层叠样式表 CSS 混淆，故将跨站脚本攻击缩写为 XSS)。恶意攻击者往 Web 页面里插入恶意 Script 代码，当用户浏览该页之时，嵌入其中 Web 里面的 Script 代码会被执行，从而达到恶意攻击用户的目的。
XSS允许攻击者可以在其他用户浏览的web页面中注入客户端脚本。一个跨站脚本漏洞可能会被攻击者用来绕开访问限制，例如同源策略。
XSS 主要有如下三种分类：
• Reflected XSS（基于反射的 XSS攻击）：是指xss代码在请求的url中，而后提交到服务器，服务器解析后，XSS代码随着响应内容一起传给客户端进行解析执行。（直接反射显示在页面）

• Stored XSS（基于存储的 XSS攻击）：Stored XSS和 Reflected XSS的差别就在于，具有攻击性的脚本被保存到了服务器端（数据库，内存，文件系统）并且可以被普通用户完整的从服务的取得并执行，从而获得了在网络上传播的能力。

• DOM-based or local XSS（基于DOM或本地的 XSS 攻击）：DOM型 XSS其实是一种特殊类型的反射型 XSS，它是基于 DOM文档对象模型的一种漏洞。可以通过 DOM来动态修改页面内容，从客户端获取 DOM中的数据并在本地执行。基于这个特性，就可以利用 JS脚本来实现 XSS漏洞的利用。
与反射型XSS、存储型XSS的区别就在于xss代码并不需要服务器解析响应的直接参与，触发XSS靠的是浏览器端的DOM解析。

CSRF
csrf：跨站点请求伪造（Cross-Site Request Forgeries），也被称为 one-click attack 或者 session riding。冒充用户发起请求（在用户不知情的情况下）， 完成一些违背用户意愿的事情（如修改用户信息，删初评论等）。
可能会造成以下影响：
• 利用已通过认证的用户权限更新设定信息等；
• 利用已通过认证的用户权限购买商品；
• 利用已通过的用户权限在留言板上发表言论
与 xss 区别
• 通常来说 CSRF 是由 XSS 实现的，CSRF 时常也被称为 XSRF（CSRF 实现的方式还可以是直接通过命令行发起请求等）。
• 本质上讲，XSS 是代码注入问题，CSRF 是 HTTP 问题。XSS 是内容没有过滤导致浏览器将攻击者的输入当代码执行。CSRF 则是因为浏览器在发送 HTTP 请求时候自动带上 cookie，而一般网站的 session 都存在 cookie里面。
案例

比如某网站的转账操作
受害者张三给李四转账100，
通过对银行的网站发起请求bank.example/transfer?ac…，
通常情况下，该请求发出后，服务器端会检查 session 是否合法，并且张三已经登录成功，
黑客王五可以自己给银行发送一个请求bank.example/transfer?ac…，但是这个请求来自王五，而不是张三，他并不能通过安全认证。他需要张三的 session 。
王五自己做了一个网站，放入如下代码bank.example/transfer?ac…，
用各种方式诱使张三点击自己的网站。
张三登录了银行的网站没有退出，访问了黑客王五的网站，上述的 url 就会向银行发起请求。
如果session没有过期，这时悲剧就发生了，张三的账户里少了1000。

防御
• 验证码；强制用户必须与应用进行交互，才能完成最终请求。此种方式能很好的遏制 csrf，但是用户体验比较差。
• 尽量使用 post ，限制 get 使用；上一个例子可见，get 太容易被拿来做 csrf 攻击，但是 post 也并不是万无一失，攻击者只需要构造一个form就可以。
• Referer check；请求来源限制，此种方法成本最低，但是并不能保证 100% 有效，因为服务器并不是什么时候都能取到 Referer，而且低版本的浏览器存在伪造 Referer 的风险。
• token；token 验证的 CSRF 防御机制是公认最合适的方案。