转载  浅聊一下XSS和CSRF攻击以及防御方法

分类:无    81人阅读    zhangenyu  2022-10-19 11:18

XSS,即为(CrossSiteScripting),中文名为跨站脚本,是发生在目标用户的浏览器层面上的,当渲染 DOM 树的过程成发生了不在预期内执行的 JS 代码时,就发生了 XSS 攻击,大多数 XSS 攻击的主要方式是嵌入一段远程或者第三方域上的 JS 代码。实际上是在目标网站的作用域下执行了这段JS代码。

XSS防御

XSS 防御的总体思路是:对输入(和URL参数)进行过滤,对输出进行编码。也就是对提交的所有内容进行过滤,对 url 中的参数进行过滤,过滤掉会导致脚本执行的相关内容 然后对动态输出到页面的内容进行html编码,使脚本无法在浏览器中执行。虽然对输入过滤可以被绕过,但是也还是会拦截很大一部分的XSS攻击。

CSRF攻击

CSRF(CrossSiteRequest Forgery,跨站请求伪造),字面理解意思就是在别的站点伪造了一个请求。专业术语来说就是在受害者访问一个网站时,其 Cookie 还没有过期的情况下,攻击者伪造一个链接地址发送受害者并欺骗让其点击,从而形成 CSRF 攻击。

CSRF防御

防御 CSRF 攻击主要有三种策略:验证HTTP Referer 字段;在请求地址中添加 Token 并验证;在 HTTP 头中自定义属性并验证。

 

服务器费用不足...

一个alert网页小部件

黑客帝国文字雨矩阵动画特效

Vue轻量级后台管理系统基础框架模板--精

建筑工程机械设备租赁网站HTML模板 - Antek

bootstrap风格后台界面管理系统模板 - Voler

时尚的社交网站前端界面HTML模板 - Cirkle

Hotspot Map - 强大的图片热点注释和提示工具

CSS3机械工业风齿轮转动特效

bootstrap框架web UI工具包后台模板 - MegaDin

物品租赁买卖业务平台HTML5模板 - Doremi

HTML5大气导航栏鼠标悬停特效

时尚和轻量设计Bootstrap4管理系统模板 - Sunny

Vue 3、Vite和TailwindCss开发的管理面板

JS+CSS3卡通汽车行驶特效

UFO适合404页面的jQuery特效

区块链数字货币管理系统网页模板 - Cryptio

JavaScript模拟网页星际旅行特效

滚动下拉图片切斜HTML5特效

给乌龟喂食卡通HTML5特效

程序员向妹子表白专用代码

服务器费用不足...
 工具推荐 更多»