XSS
(Cross Site Scripting跨站脚本)。
XSS定义的主语是“脚本”,是一种跨站执行的脚本,也就是javascript脚本,
指的是在网站上注入我们的javascript脚本,执行非法操作。
CSRF
(Cross-site request forgery 跨站请求伪造,也被称为“One Click Attack”或者Session Riding,
通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
CSRF定义的主语是”请求“,是一种跨站的伪造的请求,指的是跨站伪造用户的请求,模拟用户的操作.
XSS攻击发生的条件是可以执行javascript脚本,一般在站点中总会有发表文章、留言等信息的表单,
这种表单一般是写入到数据库中,然后在某个页面进行展示。
我们可以在这些表单中直接编写javascript代码
(<script>alert("哈哈哈哈,你被攻击了!");</script>)
进行测试,看是否可以执行。
如果在信息展示页面js代码可以执行,XSS攻击就成功了。
CSRF攻击能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于cookie中,
因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。
要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,
如果请求中没有token或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于session之中,
然后在每次请求时把token 从 session 中拿出,与请求中的 token 进行比对.