XSS,跨站脚本攻击
- 原理:攻击者往网页中插入恶意script代码,用户访问网页时,代码运行,导致攻击。
- 反射型:用户制作好攻击连接,用户点击,返回攻击页面,代码被执行。
- 持久型:评论等处,直接输入代码,被提交到服务器存储,等以后访问此页面的所有人,会加载代码评论,导致攻击。
- Dom型
- 解决:
- 对特殊字符转义,如<>转意义 < >
- 禁止浏览器访问的cookie设置为httponly
- 响应头X-XSS-Protection:0:禁用XSS保护;1:启用XSS保护;(默认开启)
- CSP内容安全策略:白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行。方法1:修改meta标签,http-equive;方法2:服务器 响应头设置
CSRF,跨站请求伪造
- 原理:攻击者盗用被服务亲信任的用户的身份来攻击服务器。
- 过程:用户打开A网站,并登入,A网站返回cookie信息给用户。用户未退出A网站,又打开了B网站,此时B网站返回攻击代码,利用用户的身份去请求A网站,网站根据用户的cookie接收此次请求。
- 解决
- 验证 HTTP Referer 字段
- 在请求地址中添加 token 并验证
- 在 HTTP 头中自定义属性并验证
- Cookie :的SameSite属性,用来防止 CSRF 攻击,禁止第三方网站携带本网站的cookie信息
csp :https://www.cnblogs.com/the-last/p/11437732.html
csrf:https://blog.csdn.net/xiaoxinshuaiga/article/details/80766369
samesite:http://www.ruanyifeng.com/blog/2019/09/cookie-samesite.html