什么是
csrf攻击
?跨站请求伪造
csrf
攻击的原理
1,
登陆正常网站
A2,
返回
cookie存储到用户
C3,
用户
C没登出访问
B4,B
伪造请求发送给
A5,A
不能判断请求的来源
,处理了
B的请求达到攻击
针对
csrf攻击进行防护
a.
验证
HTTP Referer 字段
; b.
在请求中添加
token 并验证
; c.
在
HTTP 头中自定义属性并验证
;什么是
xss攻击
?跨站脚本攻击
xss
攻击的原理
1,
用户
C登陆服务器
A2,
黑客
B发送包含攻击
js的
url地址给
C3,
用户
C访问黑客
url4,
服务器
A对
url做出回应
5,
将回应发送给黑客
B6,
黑客
B获取回应会话信息
xss
攻击进行防护
a.
将恶意代码过滤
, 转化为不能被浏览器识别的字符
b.
恶意代码被作为某一标签的属性时
,将属性截断
,来开辟新的属性
c.
单引号和双引号都需要进行转码
;对标签及标签属性做白名单过滤
;d.
也可以对一些存在漏洞的标签和属性进行专门过滤
更多技术资讯可关注:gzitcast
