XSS 概念:
1、跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。
XSS 漏洞的危害:
1、执行 Flash 内容,强迫您下载软件、劫持帐户,执行 ActiveX(播放动画)、盗取各类用户账号 2、又可以称为“框架钓鱼”。利用JS脚本的基本功能之一:操作网页中的DOM树结构和内容,在网页中通过JS脚本,生成虚假的页面,欺骗用户执行操作,而用户所有的输入内容都会被发送到攻击者的服务器上 3、挂马(当你你访问被加入恶意代码的页面时,你就会自动的访问被转向的地址或者下载木马病毒)
XSS 解决方法:
1、在提交表单时,前端最好将文本内容转为html实体编码,也就是过滤掉<script><a>、这样的内容,然后再提交到后台去。当然保险起见,后台也要再做一遍html实体转码,然后再入库。
2、npm install xss --save 照install配置
csrf 概念:
1、是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法(A访问B(产生Cookie信息并返回给浏览器,在没有退出的情况)、A又访问有问题C(网站c带着cookie访问B不会被拒绝、恶意代码被执行)
XSS 漏洞的危害:
1、获取用户的隐私数据、攻击者能够欺骗受害用户完成该受害者所允许的任一状态改变的操作,比如:更新账号细节,完成购物,注销甚至登录、 发送恶意欺骗邮件等
2、然后再利用私信好友的CSRF漏洞给其每个好友发送一条指向恶意页面的信息,只要有人查看这个信息里的链接,CSRF蠕虫就会不断传播下去
csrf的解决方法:
1、CSRF自动防御策略:同源检测 2、CSRF主动防御措施:Token验证 或者 双重Cookie验证 3、使用网页版邮件的浏览邮件或者新闻也会带来额外的风险,因为查看邮件或者新闻消息有可能导致恶意代码的攻击。 尽量不要打开可疑的链接,一定要打开时,使用不常用的浏览器。
