xss
全稱cross site scripting,名為跨站指令碼攻擊,黑客將惡意指令碼**植入到頁面中從而實現盜取使用者資訊等操作。
常見的攻擊情景:
1、使用者a訪問安全**b,然後使用者c發現b**存在xss漏洞,此時使用者c向a傳送了一封郵件,裡面有包含惡意指令碼的url位址(此url位址還是**b的位址,只是路徑上有惡意指令碼),當使用者點選訪問時,因為**b中cookie含有使用者的敏感資訊,此時使用者c就可以利用指令碼在受信任的情況下獲取使用者a的cookie資訊,以及進行一些惡意操作。
這種攻擊叫做反射性xss
2、假設**b是乙個部落格**,惡意使用者c在存在xss漏洞的**b發布了一篇文章,文章中存在一些惡意指令碼,例如img標籤、script標籤等,這篇部落格必然會存入資料庫中,當其他使用者訪問該文章時惡意指令碼就會執行,然後進行惡意操作。
這種攻擊方式叫做永續性xss,將攜帶指令碼的資料存入資料庫,之後又由後台返回。
預防措施:
1、對輸入、輸出結果進行過濾和必要的轉義
2、盡量使用post,使用get方式時對路徑長度進行限制
3、使用httponly禁止黑客通過指令碼獲取使用者cookie資料,但這樣無法完全阻止xss攻擊,因為傳送http請求並不需要主動獲取cookie
csrf
全稱cross-site request forgery,名為跨站請求偽造,顧名思義就是黑客偽裝成使用者身份來執行一些非使用者自願的惡意以及非法操作
常見攻擊情景:
使用者a經常訪問部落格**b,使用者c發現**b存在csrf漏洞,想盡了各種辦法勾引使用者a訪問了c寫好的危險**d,而此時使用者a的cookie資訊還沒有失效,危險**d中有向**b求請求的非法操作,這樣使用者在不知情的情況下就被操控了。
這個時候就會有乙個疑問,瀏覽器本身有同源策略啊,為什麼在**d還可以請求**b的api,要記住瀏覽器對img、iframe和script的src是沒有同源限制的!所以黑客完全可以利用動態新增這些標籤的方法來實現跨站請求。
預防措施:
1、驗證碼
2、tokenid令牌
3、判斷請求的referer是否正確
csrf和xss的區別:
1、csrf需要登陸後操作,xss不需要
跨站攻擊XSS和CSRF
1.通過注入的標籤事件觸發 alert xss body alert 1 style postion fixed width 100 heith 100 p alert 1 autofocus 2.通過注入的帶有src屬性的標籤觸發 iframe data text html,iframe data...
前端安全問題 XSS和CSRF
xss又稱css,全稱crosssitescript,跨站指令碼攻擊,是web程式中常見的漏洞,xss屬於被動式且用於客戶端的攻擊方式,所以容易被忽略其危害性。其原理是攻擊者向有 xss漏洞的 中輸入 傳入 惡意的html 當其它使用者瀏覽該 時,這段html 會自動執行,從而達到攻擊的目的。如,盜...
web安全(xss攻擊和csrf攻擊)
1 csrf攻擊 csrf cross site request forgery 跨站請求偽造。1 攻擊原理 如上圖,在b 引誘使用者訪問a 使用者之前登入過a 瀏覽器 cookie 快取了身份驗證資訊 通過呼叫a 的介面攻擊a 2 防禦措施 1 token驗證 登陸成功後伺服器下發token令牌存...