1、csrf攻擊:
csrf(cross-site request forgery):跨站請求偽造。
(1)、攻擊原理:
如上圖,在b**引誘使用者訪問a**(使用者之前登入過a**,瀏覽器 cookie 快取了身份驗證資訊),
通過呼叫a**的介面攻擊a**。
(2)、防禦措施:
1)token驗證:登陸成功後伺服器下發token令牌存到使用者本地,再次訪問時要主動傳送token,瀏覽器只能主動發cookie,做不到主動發token
2、xss 攻擊:
xss(cross site scripting):跨域指令碼攻擊。
(1)、攻擊原理:
(2)、防禦措施:
令xss無法攻擊,比如對注入的東西進行轉義、編碼、過濾、校正等。
3、區別:
csrf:需要使用者先登入**a,獲取 cookie。xss:不需要登入。
csrf:是利用**a本身的漏洞,去請求**a的api。xss:是向** a 注入 js**,然後執行 js 裡的**,篡改**a的內容。
Web安全攻擊XSS與CSRF攻擊簡述
摘要 公司要給近期專案檢測安全性,主要針對的是stored xss攻擊方式,借這次就在這裡好好總結一下,什麼是xss攻擊,為什麼會出現xss攻擊,xss攻擊有哪些種類,xss攻擊有什麼危害,以及cfrs攻擊。什麼是xss攻擊 xss攻擊全稱cross site scripting即跨站指令碼攻擊,這...
web安全 XSS攻擊
xss xss,即為 cross site scripting 中文名為跨站指令碼 不使用css縮寫是為了與層疊樣式表區分 是發生在目標使用者的瀏覽器層面上的,當渲染dom樹的過程成執行了不在預期內的js 時,就發生了xss攻擊。xss分為反射型xss,儲存型xss和dom xss 1 反射型xss...
web安全指XSS與CSRF
根據 http 一書關於web攻擊的介紹,攻擊的模式有兩大類,主動攻擊與被動攻擊 主動攻擊 主要針對伺服器上的資源進行攻擊,代表攻擊方式有sql注入與os命令注入.被動攻擊 攻擊者並不是直接對web應用發起攻擊,而是通過一定的引誘或者圈套策略發起攻擊.被動攻擊中最常見的兩種攻擊方式是xss與csrf...