本文总结了XSS和CSRF两种漏洞的本质、检测方法及防范措施。对于XSS,防范手段包括设置httpOnly Cookie和输入检测与转义。而对于CSRF,可通过验证HTTP Referer字段、添加Token验证和自定义HTTP头属性来防御。同时讨论了如何利用XSS窃取防御CSRF的Token,以及CSRF如何盗取SELF-XSS的Cookie。
今天 就把之前学的东西简单的总结一下吧
两种漏洞本质
XSS漏洞(跨站脚本):XSS漏洞的本质是服务端分不清用户输入的内容是数据还是指令代码,从而造成用户输入恶意代码传到服务端执行。
CSRF漏洞(跨站请求伪造):CSRF漏洞的本质是浏览器在不应该发送Cookie的地方发送了Cookie.
XSS漏洞
XSS漏洞检测
一般是构造一个"<script>alert("XSS")</script>"的JS的弹窗代码进行测试
防范:
- 设置重要的 cookie信息为 httpOnly
- 对输入进行检测和转义对用户输入的或者从链接获取参数需要展示到页面中需要校验合法性和使用转义函数进行转义
附上一个转义函数:
function escHTML(str) {
if (!str) return '';
return str.replace(/&/g, '&')
.
最低0.47元/天 解锁文章
扫一扫
959
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
