-
XSS攻击:跨站脚本攻击,是一种代码注入攻击。攻击者把可执行的恶意脚本注入搭配页面中,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。
解决方案:1. 对需要插入到 HTML 中的代码做好充分的转义;2.使用 CSP,建立一个白名单,告诉浏览器哪些外部资源可以加载和执行,从而防止恶意代码的注入攻击
-
CSRF攻击:跨站请求伪造攻击,攻击者诱导用户进入一个第三方网站,然后该网站向被攻击网站发送跨站请求,如果用户在被攻击网站中保存了登录状态,那么攻击者就可以利用这个登录状态,绕过后台的用户验证,冒充用户向服务器执行一些操作。比如攻击者可以通过在输入留言框内输入可发送请求的代码,留言放到网站上,这样每个人进入这个网站的时候都会执行这行代码并发送携带自己的cookie账号密码等关键信息的请求,这样攻击者就能拿到用户的信息伪造拿去登录了
解决方案:1.同源检测,2.使用 CSRF Token 进行验证,3.限制 cookie 不能作为被第三方使用
XSS和CSRF攻击
于 2022-02-11 16:53:46 首次发布
本文深入探讨了XSS(跨站脚本攻击)和CSRF(跨站请求伪造攻击)两种常见的网络安全威胁。XSS攻击通过注入恶意脚本盗取用户信息,而CSRF攻击则利用用户已登录的状态执行非法操作。针对这两种攻击,文章提出了相应的解决方案,包括数据转义、使用CSP、同源检测和CSRFToken等技术,旨在保护用户信息安全,防止攻击发生。
摘要由CSDN通过智能技术生成