1.XSS:跨站点脚本编制。攻击者向合法的web页面插入恶意的脚本代码,可以盗取cookie中的用户隐私信息
防范方法:在写页面内容之前加encode/避免直接在cookie中直接暴漏用户隐私/尽量采用post提交表单
2.CSFR:跨站点请求伪造。用户访问受信任网站A时碰巧打开恶意网站B,B会获取A网站的用户信息和权限去处理请求。
防范方法:可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
3.JS劫持:攻击者在其恶意站点的网页中通过<script>标签调用被攻击站点的JSON动态数据接口,通过JS Function Hook等技术获得这些JSON数据。
扫一扫
579
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
