黑马程序员技术交流社区
标题:
【广州python】csrf和xss攻击
[打印本页]
作者:
丁柳
时间:
2019-7-25 16:59
标题:
【广州python】csrf和xss攻击
本帖最后由 丁柳 于 2019-7-25 17:00 编辑
什么是
csrf
攻击
?
跨站请求伪造
csrf
攻击的原理
1,
登陆正常网站
A
2,
返回
cookie
存储到用户
C
3,
用户
C
没登出访问
B
4,B
伪造请求发送给
A
5,A
不能判断请求的来源
,
处理了
B
的请求达到攻击
针对
csrf
攻击进行防护
a.
验证
HTTP Referer
字段
;
b.
在请求中添加
token
并验证
;
c.
在
HTTP
头中自定义属性并验证
;
什么是
xss
攻击
?
跨站脚本攻击
xss
攻击的原理
1,
用户
C
登陆服务器
A
2,
黑客
B
发送包含攻击
js
的
url
地址给
C
3,
用户
C
访问黑客
url
4,
服务器
A
对
url
做出回应
5,
将回应发送给黑客
B
6,
黑客
B
获取回应会话信息
xss
攻击进行防护
a.
将恶意代码过滤
,
转化为不能被浏览器识别的字符
b.
恶意代码被作为某一标签的属性时
,
将属性截断
,
来开辟新的属性
c.
单引号和双引号都需要进行转码
;
对标签及标签属性做白名单过滤
;
d.
也可以对一些存在漏洞的标签和属性进行专门过滤
欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/)
黑马程序员IT技术论坛 X3.2