平时我们在工作种或者面试的时候,经常会遇到CSRF和XXS两种攻击方式,下面就这两种方式进行简单的介绍。
一、CSRF
1. CSRF介绍
CSRF是Cross-site request forgery的简称,跨站请求伪造。
2. CSRF如何工作
攻击者盗用了用户的身份,以用户的名义发送恶意的请求,因此来进行发邮件、发消息、盗取账号、购买商品等操作,影响用户的隐私以及财产安全
3. CSRF原理
> 用户在浏览A网站 并登录,在本地生成cookie
> 还未登出A网站,访问危险的B网站
如图:
案例介绍: 用户登录的某银行后,打开的恶意网站B。在B网站中隐藏了标签,对用户的内容进行恶意的操作
3. CSRF预防
现在比较常用的是采用token令牌,在请求的时候放到header中
二、XXS攻击
1. XSS介绍
XSS是Cross Site Scripting的简称(为了区分CSS因此成为XSS),跨站脚本攻击。
2. XSS如何工作
在留言板,评论,输入框等用户输入的地方,前端仅进行html展示的地方。有些人利用这个特性,在输入框中输入一些恶意的脚本比如,通过这些脚本窃取网页浏览中的cookie值、劫持网页流量实现恶意跳转。
3. XSS预防
> 过滤script img a等标签,包括过滤大小写()、绕过利用过滤后的内容再次构成攻击语句(<scrIPT>>)、绕过 img标签的攻击(<img src=‘....’/>)、a div等标签添加触发事件()
> 将一些特殊的关键字进行编码后输出,如alert(1)编码过后就是\u0061\u006c\u0065\u0072\u0074(1)
> 限制输入框长度