当先锋百科网

首页 1 2 3 4 5 6 7

目录

目标

csrf

xss


目标

阐述csrf和xss是什么以及防御方式。

csrf

what

csrf  跨站点请求伪造 Cross-site request forgery

攻击方式

攻击者伪造表单提交,向受害者服务器请求提交表单。

防御

对http header中Referer进行验证,是否合法。

form表单中添加token,token提交后需要服务器验证合法性;消费后失效。

重要表单需要验证码。

xss

what

xss 跨站脚本攻击。

通过脚本获取用户cookie等浏览器信息,攻击者可以利用受害者的cookie进行cookie欺骗,从而获取受害者的操作权限。

攻击方式

超链接

受害者访问链接,链接返回攻击脚本。

存储

攻击脚本被存储到了服务器,受害者访问服务器数据时,页面执行攻击脚本。

 

防御

针对超链接方式,无法防御,因为攻击脚本不在我方服务器。

针对存储方式

  • 输入过滤,服务器端对输入数据进行特殊字符过滤
  • 输出转换,页面展示时需要特殊字符转换