什么是xss跨站攻击?
正常访问服务器A,用户信任并在服务器A上登录操作,服务器A保存着用户的session数据,这时用户并没有退出服务器A的系统,然后访问危险服务器B,本来是用户请求服务器返回数据,是一场愉快的对话,然后黑客会利用服务器返回的数据中,插入一段js代码,也就是页面加载完成时候,偷偷摸摸向服务器发起一段特殊含义的URL请求给服务器A,服务器A由于session默认用户的操作合法,就会去完成这段特殊的URL请求,而用户完全不知情的情况下,盗用了自己的身份完成了一些非法操作
那,csrf攻击有哪些危害?
- 盗取各类用户账号,如用户网银账号、各类管理员账号
- 盗取企业重要的具有商业价值的资源
- 非法转账
- 控制受害机器向其他网站发起攻击、注入木马
- 跨站请求伪造
-
以你的名义发送邮件
-
盗取你的账号
-
购买商品
-
虚拟货币转账
那,如何防范?
1. 用户避免访问不认识的网站或者不要随便点开莫名其妙的链接
2. 服务器端,每次都生成一个带有一次性的标识,必须带来标识,服务器端才认可用户操作,合法用户肯定会带来这个标识