web端的安全攻擊有CSRF和XSS兩種,將通過以下三個方面介紹這兩種安全攻擊: 1、基本概念和縮寫 2、攻擊原理 3、防禦措施 CSRF 1、基本概念和縮寫 CSRF(Cross-site request forgery)跨站請求偽造,是通過偽裝成受信任用戶的請求來利用受信任的網站進行攻擊。 2、 ...
web端的安全攻擊有CSRF和XSS兩種,將通過以下三個方面介紹這兩種安全攻擊:
1、基本概念和縮寫
2、攻擊原理
3、防禦措施
CSRF
1、基本概念和縮寫
CSRF(Cross-site request forgery)跨站請求偽造,是通過偽裝成受信任用戶的請求來利用受信任的網站進行攻擊。
2、攻擊原理
3、防禦措施
CSRF是攻擊者可以利用保存到cookie偽造用戶發送請求,所以防禦的關鍵是在請求中放入攻擊者不可偽造的信息。
Token驗證:在http請求的頭信息中增加一個Token欄位,併在伺服器端判斷是否Token一致,通過校驗攜帶的Token信息決定是否允許請求。
Referer驗證: 在HTTP頭中有一個欄位叫Referer,它記錄了該HTTP請求的來源地址。如果Referer是可信任的網站來源,則允許,否則拒絕。(例如用戶在登錄某銀行網站A.com後點擊轉賬按鈕發送轉賬請求,此時該請求的頭信息的Referer就是有轉賬按鈕的URL,伺服器判斷是否為銀行網站的URL,是的話請求就合法,不是的話就可能是CSRF攻擊,則拒絕請求。)
XSS
1、基本概念和縮寫
XSS攻擊全稱跨站腳本攻擊,XSS是一種在web應用中的電腦安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
2、攻擊原理
3、防禦措施
過濾:表單提交或者url參數傳遞前,對需要的參數進行過濾
轉化:有時不能對數據進行嚴格的過濾,那我們也需要對標簽進行轉換。(比如用戶輸入:<script>alert("222")</script>,保存後最終存儲的會是<script>alert="222;</script>在展現時瀏覽器會對這些字元轉換成文本內容顯示,而不是一段可執行的代碼。)
有不對的地方歡迎大家指正!
-THE END-
