目录
XSS攻击
简介
xss,全称Cross Site Scripting,翻译为跨站脚本攻击
它的攻击原理是利用开发时候的漏洞,向页面注入一些恶意代码,从而达到攻击目的
攻击类型
xss的攻击类型可分为持久型和非持久型
- 持久型指的是存储型xss,恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性
- 非持久型分为反射型xss和DOM型xss,反射型xss通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击,而DOM型xss是通过恶意脚本修改页面的DOM结构
防范措施
- 通过浏览器自带的防御机制
- 对提交内容中的非法内容进行过滤
- 对特定字符进行转义,例如将<转义为<等
- CSP(Content Security Policy)内容安全策略:用于指定哪些内容可执行
CSRF攻击
简介
csrf,全称Cross Site Request Forgery,翻译为跨站请求伪造
简单来说就是用户访问了A网站,A网站上有了用户的cookie,在没有关闭A网站的情况下,又访问了B网站,B网站通过恶意行为拿到用户存在A网站上的cookie,从而可以不用验证就向A网站发送恶意请求
攻击类型
- get类型,一般是利用
<img>
标签等发起,在用户访问页面时,浏览器会自动向src
指向的地址发出请求 - post类型,通常是构造一个自动提交的表单在页面上,模拟用户完成了一次post操作
防范措施
- 通过判断请求头中的referer头确定请求的来源,从而避免CSRF攻击
- 加入验证码
- 验证token
欢迎指正