反射型XSS和CSRF的相同点:
- 都需要用户点击链接,访问恶意构造的链接。
反射型XSS和CSRF的不同点:
- XSS偏向于代码执行。代码可以被黑客构造,能够实现复杂的功能,更加的危险。
- CSRF则偏向于结果。通常情况是利用系统自带的功能来实现黑客想要达到的结果,比如刷访问量、发布文章。
XSS也能实现CSRF的功能,不过能GetShell,你会只用来刷访问量?(逃🤡
防御方式:
- 验证Refer
- 验证token
- CSRF tokens是防护CSRF的关键
- CSRF tokens现在通常是一个秘钥或者salt的hash
参考教程:
- 用大白话谈谈XSS与CSRF:https://segmentfault.com/a/1190000007059639