XSS

XSS,Cross site script,跨站脚本攻击。

原理

通过各种手段,向用户页面注入恶意脚本,获取用户信息,并上传到攻击者的恶意服务器上。

案例

1.

2.

攻击手段

1.存储型XSS
将脚本存储到有漏洞的服务器期中,当用户访问到相关内容时,会一并访问到恶意脚本,恶意脚本执行,获取用户数据,并发送到攻击者的服务器中

2.反射型XSS

防御手段

1.开启cookie的HttpOnly:

2.服务器端过滤或转码

3.开启

CSRF

原理

攻击手段

防御手段

1.开启cookie的samesite

2.使用referer和origin字段,服务器进行判断

3.使用CSRF Token验证客户端是否可信