黑马程序员技术交流社区
标题:
【上海校区】
[打印本页]
作者:
依惜
时间:
2020-1-2 13:14
标题:
【上海校区】
XSS与CSRF攻击
XSS:跨站脚本(Cross-site scripting),通过客户端脚本语言(如JavaScript)在一个论坛发帖中发布一段恶意的JavaScript代码就是脚本注入,如果这个代码内容有请求外部服务器,那么就叫做XSS。
XSS类型:
反射型:经过后端,不经过数据库
存储型:经过后端,经过数据库
DOM:不经过后端
XSS防御:
1.白名单重新整理,用户输入的html,遍历树节点拿到数据,重新构造dom
树,树中标签,属性从白名单中获取,不能识别的则丢弃。
2.过滤器对请求中的特殊字符进行编码转化,如< 转码为 <。.
3.对表单内容做长度校验,长度短,无法输入攻击代码。
CSRF:跨站请求伪造(Cross-site request forgery),冒充用户发起请求,完成一些违背用户意愿的请求(如恶意发帖,删帖,改密码,发邮件等)
CSRF防御:
那就使用token吧,服务端生成随机码给前端。
欢迎光临 黑马程序员技术交流社区 (http://bbs.itheima.com/)
黑马程序员IT技术论坛 X3.2