csrf:跨站點請求偽造(cross—site request forgery)
使用者在自己電腦瀏覽乙個站點a,進行登入動作後,瀏覽完後沒有退出站點。在新的tab頁面開啟乙個站點b ,加入站點b是乙個釣魚**,其中有乙個連線是跳到站點a,這時候站點a的登入資訊你並沒退出,站點a認為是使用者操作行為,站點b 向站點a 傳送惡意請求,比如扣除你賬號裡的錢。這種操作就是跨站點偽造請求
預防手段一版有
1 驗證頭資訊的referer,這個一般是儲存是從哪個上面跳轉過來的位址。
2 加token驗證,在每次的請求新增乙個token隨機數進行驗證,如果token的驗證不通過直接忽略此請求
XSS攻擊與CSRF攻擊
xss cross sitescript 跨站指令碼攻擊,是web程式中常見的漏洞,xss屬於被動式且用於客戶端的攻擊方式,所以容易被忽略其危害性。其原理是攻擊者向有xss漏洞的 中輸入 傳入 惡意的html 當其它使用者瀏覽該 時,這段html 會自動執行,從而達到攻擊的目的。如,盜取使用者coo...
CSRF攻擊與防禦
csrf是乙個偽造使用者請求的操作,所以需要構造使用者請求的所有引數才構成攻擊。表單token通過在請求引數中增加隨機數的辦法來阻止攻擊者獲得所有請求的引數 在頁面表單中增加乙個隨機數為token,每次響應頁面的token都不一樣,從正常頁面提交的請求會包含該token,而偽造者的請求無法獲得該值,...
xss攻擊與防禦
cross site scripting跨站指令碼攻擊 利用js和dom攻擊。盜用cookie,獲取敏感資訊 破壞正常頁面結構,插入惡意內容 廣告.劫持前端邏輯 ddos攻擊效果 分布式拒絕服務攻擊 server limit dos,http header過長,server返回400 攻擊方式 發出...