CSRF与XSS攻防知识点总结

·  阅读 1158

本章节将用于详细总结记录,跨站脚本攻击XSScross site script)与 跨站请求伪造CSRFcross site request forgery)这两种常见的浏览器安全的攻防手段。本章节会介绍两种攻击的概念,以及相关手段有哪些,以及对应的防御手段:

  • 跨站脚本攻击XSScross site script
  • 跨站请求伪造CSRFcross site request forgery

跨站脚本攻击XSS

在这里插入图片描述

1、概念:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端JS脚本。

2、主要危害:盗取账号、窃取资料、非法转账、网站挂马等

3、工要攻击手段:反射型、存储型、DOM型

在这里插入图片描述

  • 反射型:服务端返回脚本,客户端执行(一般通过URL)
  • 存储型:后台存储,前端展示(一般通过发帖或评论)
  • DOM型:基于DOM(流量劫持、DNS劫持)

4、主要防御手段:输入输出过滤、长度限制、cookie设置http-only

跨站请求伪造CSRF

在这里插入图片描述

1、概念:攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。

2、主要危害:盗取账号、非法转账、发送邮件消息等

3、主要攻击手段:img等标签跨域GET请求、POST自动表单提交

4、主要防御手段:尽可能使用POST方式、验证码、验证 Referer、CSRF Token

分类:
前端
标签:
分类:
前端
标签: