本帖最后由 丁柳 于 2019-7-25 17:00 编辑
什么是csrf攻击?
跨站请求伪造
csrf攻击的原理
1,登陆正常网站A
2,返回cookie存储到用户C
3,用户C没登出访问B
4,B伪造请求发送给A
5,A不能判断请求的来源,处理了B的请求达到攻击针对csrf攻击进行防护
a.验证 HTTP Referer 字段;
b.在请求中添加 token 并验证;
c.在 HTTP 头中自定义属性并验证;
什么是xss攻击?
跨站脚本攻击
xss攻击的原理
1,用户C登陆服务器A
2,黑客B发送包含攻击js的url地址给C
3,用户C访问黑客url
4,服务器A对url做出回应
5,将回应发送给黑客B
6,黑客B获取回应会话信息
xss攻击进行防护
a.将恶意代码过滤, 转化为不能被浏览器识别的字符
b.恶意代码被作为某一标签的属性时,将属性截断,来开辟新的属性
c.单引号和双引号都需要进行转码;对标签及标签属性做白名单过滤;
d.也可以对一些存在漏洞的标签和属性进行专门过滤
|
|