zoukankan      html  css  js  c++  java
  • CSRF XSRF

    XSS

    (Cross Site Scripting跨站脚本)。

    XSS定义的主语是“脚本”,是一种跨站执行的脚本,也就是javascript脚本,
    指的是在网站上注入我们的javascript脚本,执行非法操作。

    CSRF

    (Cross-site request forgery 跨站请求伪造,也被称为“One Click Attack”或者Session Riding
    通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
    CSRF定义的主语是”请求“,是一种跨站的伪造的请求,指的是跨站伪造用户的请求,模拟用户的操作.

    XSS攻击发生的条件是可以执行javascript脚本,一般在站点中总会有发表文章、留言等信息的表单,
    这种表单一般是写入到数据库中,然后在某个页面进行展示。
    我们可以在这些表单中直接编写javascript代码

    (<script>alert("哈哈哈哈,你被攻击了!");</script>)
    

    进行测试,看是否可以执行。
    如果在信息展示页面js代码可以执行,XSS攻击就成功了。

    CSRF攻击能够成功,是因为黑客可以完全伪造用户的请求,该请求中所有的用户验证信息都是存在于cookie中,
    因此黑客可以在不知道这些验证信息的情况下直接利用用户自己的cookie 来通过安全验证。
    要抵御 CSRF,关键在于在请求中放入黑客所不能伪造的信息,并且该信息不存在于 cookie 之中。
    可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,
    如果请求中没有token或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
    这种方法要比检查 Referer 要安全一些,token 可以在用户登陆后产生并放于session之中,
    然后在每次请求时把token 从 session 中拿出,与请求中的 token 进行比对.

    https://blog.csdn.net/xiasohuai/article/details/81099602

  • 相关阅读:
    javaoop初级入门继承和封装和接口和多态和抽象类
    java基础的几种 函数
    sql server 2008子查询的学习小纪(一)
    中文价码filter
    $http.jsonp和$scope.watch
    普通版选项卡
    面向对象版选项卡
    angular版选项卡
    微信H5--手机键盘弹起导致页面变形
    controller控制器
  • 原文地址:https://www.cnblogs.com/Searchor/p/13559606.html
Copyright © 2011-2022 走看看