A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

© 依惜 中级黑马   /  2020-1-2 13:14  /  1184 人查看  /  0 人回复  /   0 人收藏 转载请遵从CC协议 禁止商业使用本文

                                                                   XSS与CSRF攻击
XSS:跨站脚本(Cross-site scripting),通过客户端脚本语言(如JavaScript)在一个论坛发帖中发布一段恶意的JavaScript代码就是脚本注入,如果这个代码内容有请求外部服务器,那么就叫做XSS。
XSS类型:
反射型:经过后端,不经过数据库
存储型:经过后端,经过数据库
DOM:不经过后端
XSS防御:
1.白名单重新整理,用户输入的html,遍历树节点拿到数据,重新构造dom
树,树中标签,属性从白名单中获取,不能识别的则丢弃。
2.过滤器对请求中的特殊字符进行编码转化,如< 转码为 &lt。.
3.对表单内容做长度校验,长度短,无法输入攻击代码。
CSRF:跨站请求伪造(Cross-site request forgery),冒充用户发起请求,完成一些违背用户意愿的请求(如恶意发帖,删帖,改密码,发邮件等)
CSRF防御:
那就使用token吧,服务端生成随机码给前端。


0 个回复

您需要登录后才可以回帖 登录 | 加入黑马