XSS原理:
根本我个人理解XSS又叫CSS(Cross-SiteScripting跨站脚本攻击)为了不和css层叠样式表混淆,所以改成了XSS。XSS是将恶意的代码插入到html页面中,当用户浏览页面时,插入的html代码会被执行,从而达到最终目的。
XSS分为三种:
反射型:这种反射型一般存在链接中,请求链接时,代码经过服务器端就会反射回来。
存储型:一般在留言板、搜索框里会遇到,直接插入到留言板中当用户每次访问时都会反射这种称为存储型。
DOM型:是一种发生在客户端文档对象模型中的跨站漏洞。
XSS和csrf的区别:XSS发生在客户端,CSRF发生在服务端。
以上三种漏洞会造成:身份盗用,钓鱼欺骗、垃圾信息发送等;
XSS:修复方式和SQL注入修复方式相同,建议查看历史文章。
CSRF:根据我的理解,CSRF是跨站请求伪造(Cross-siterequestforgery)大家可能认为和XSS漏洞相似容易混淆,其实和XSS区别还是很大的,与XSS攻击相比,CSRF攻击不流行(所以防范的资源也稀少)和难以防范,所以被称为比XSS更具危险性。同样这也是XSS和CSRF区别之一。
以下是我总结的常见区别:
(1)CSRF比XSS漏洞危害更高。
(2)CSRF可以做到的事情,XSS都可以做到。
(3)XSS有局限性,而CSRF没有局限性。
(4)XSS针对客户端,而CSRF针对服务端。
(5)XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。
本文由小龙1028原创作品,欢迎转载
cffsec团队不仅是学习的源泉,更是大家技术分享的平台,同样也是你们的另一个学习家园,希望大家多多关注,也可以提出自己宝贵的意见。
扫描二维码关注公众号@cffsec安全团队