了解CSRF与XXS攻击

·  阅读 366

平时我们在工作种或者面试的时候,经常会遇到CSRF和XXS两种攻击方式,下面就这两种方式进行简单的介绍。

一、CSRF

1. CSRF介绍

      CSRF是Cross-site request forgery的简称,跨站请求伪造。

2. CSRF如何工作

       攻击者盗用了用户的身份,以用户的名义发送恶意的请求,因此来进行发邮件、发消息、盗取账号、购买商品等操作,影响用户的隐私以及财产安全

3.  CSRF原理

       > 用户在浏览A网站 并登录,在本地生成cookie

       > 还未登出A网站,访问危险的B网站

       如图:

      案例介绍: 用户登录的某银行后,打开的恶意网站B。在B网站中隐藏了标签,对用户的内容进行恶意的操作

3. CSRF预防

      现在比较常用的是采用token令牌,在请求的时候放到header中

二、XXS攻击

1. XSS介绍

     XSS是Cross Site Scripting的简称(为了区分CSS因此成为XSS),跨站脚本攻击。

2. XSS如何工作

     在留言板,评论,输入框等用户输入的地方,前端仅进行html展示的地方。有些人利用这个特性,在输入框中输入一些恶意的脚本比如,通过这些脚本窃取网页浏览中的cookie值、劫持网页流量实现恶意跳转。

3. XSS预防

     > 过滤script img a等标签,包括过滤大小写()、绕过利用过滤后的内容再次构成攻击语句(<scrIPT>>)、绕过 img标签的攻击(<img  src=‘....’/>)、a div等标签添加触发事件(

     > 将一些特殊的关键字进行编码后输出,如alert(1)编码过后就是\u0061\u006c\u0065\u0072\u0074(1)

   > 限制输入框长度

分类:
前端
标签: