- CSRF
- XSS
CSRF:
- 基本概念:跨站请求伪造
- 攻击原理:
- 网站中某个API接口存在漏洞
- 用户在注册网站1登陆过
- 防御措施:
- Token验证:浏览器自动上传cookie,但是没有上传token,服务器通过判断是否请求携带token可以避免攻击
- Referer验证:服务器判断页面来源是否为注册网站下的站点页面,如果是则继续执行
- 隐藏令牌:类似token,隐藏在http头
XSS攻击:
- 基本概念:跨域脚本攻击
- 攻击原理:向页面注入脚本,评论提交区(合法渠道)写入script标签代码
- 防御措施:让插入的脚本无法执行,例如替换掉原始http请求,去除敏感字符
区别:
xss是通过合法渠道注入脚本,CSRF依赖于用户登陆过该网站,利用已有的api漏洞去攻击
若有收获,就点个赞吧
0 人点赞
