博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
web安全CSRF和XSS
阅读量:5906 次
发布时间:2019-06-19

本文共 892 字,大约阅读时间需要 2 分钟。

web端的安全攻击有CSRFXSS两种,将通过以下三个方面介绍这两种安全攻击:

  1、基本概念和缩写

  2、攻击原理

  3、防御措施

 

CSRF

   1、基本概念和缩写

    CSRF(Cross-site request forgery)跨站请求伪造,是通过伪装成受信任用户的请求来利用受信任的网站进行攻击。

  2、攻击原理

  

 

  3、防御措施

    CSRF是攻击者可以利用保存到cookie伪造用户发送请求,所以防御的关键是在请求中放入攻击者不可伪造的信息。

 

    Token验证:在http请求的头信息中增加一个Token字段,并在服务器端判断是否Token一致,通过校验携带的Token信息决定是否允许请求。

    Referer验证: 在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。如果Referer是可信任的网站来源,则允许,否则拒绝。(例如用户在登录某银行网站A.com后点击转账按钮发送转账请求,此时该请求的头信息的Referer就是有转账按钮的URL,服务器判断是否为银行网站的URL,是的话请求就合法,不是的话就可能是CSRF攻击,则拒绝请求。)

 

XSS

  1、基本概念和缩写

  XSS攻击全称,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。

   2、攻击原理

  

   3、防御措施

     过滤:表单提交或者url参数传递前,对需要的参数进行过滤

   转化:有时不能对数据进行严格的过滤,那我们也需要对标签进行转换。(比如用户输入:<script>alert("222")</script>,保存后最终存储的会是&lt;script&gt;alert=&quot;222;&lt;/script&gt;在展现时浏览器会对这些字符转换成文本内容显示,而不是一段可执行的代码。)

 

有不对的地方欢迎大家指正!

 

-THE END-

    

转载于:https://www.cnblogs.com/menggirl23/p/10184607.html

你可能感兴趣的文章
JQuery入门(2)
查看>>
linux文件描述符
查看>>
传值引用和调用引用的区别
查看>>
hyper-v 无线网连接
查看>>
Python3.7.1学习(六)RabbitMQ在Windows环境下的安装
查看>>
Windows下memcached的安装配置
查看>>
ubuntu: firefox+flashplay
查看>>
web.xml 中CharacterEncodingFilter类的学习
查看>>
贪吃蛇逻辑代码
查看>>
ASP.NET视频教程 手把手教你做企业论坛网站 视频教程
查看>>
[LeetCode] Meeting Rooms II
查看>>
从Swift学习iOS开发的路线指引
查看>>
Scribes:小型文本编辑器,支持远程编辑
查看>>
ssh 安装笔记
查看>>
3-继承
查看>>
海归千千万 为何再无钱学森
查看>>
vue2.0 仿手机新闻站(六)详情页制作
查看>>
JSP----九大内置对象
查看>>
Java中HashMap详解
查看>>
delphi基本语法
查看>>