XSS:
跨站脚本(Cross-site Scripting),xss攻击是一种注入式攻击。基本做法为将恶意代码注入到目标网站,用户在不知情的情况浏览了注入恶意代码的网页是,浏览器就会无差别的执行代码,从而触发了恶意代码,一般xss分为两种类型,一种是持久化的xss和非持久化xss;
持久化xss:通过一些正常的站内交互途径,例如攻击者在论坛或贴吧里发了包含恶意代码“诱惑”帖子,该帖子会保存在站内数据库中,当被“诱惑”的用户要浏览帖子时,网站后台将恶意代码从数据库取出返回响应到浏览器,浏览器在渲染帖子的内容时就会无差别的执行了恶意代码,通常恶意代码都会去获取用户的cookie并发送给恶意网站,这样用户就会在不知情的情况下被偷走了用户信息。(所谓的持久就是将恶意代码通过信息数据的渠道放置于平台的数据库中)
非持久化xss: 攻击者构造了一个跳转到恶意网站的URL,并诱导用户去访问并跳转到恶意网站,而攻击者构造的脚本里包含获取用户敏感信息的代码从而获取用户的敏感信息。
CSRF:
跨站点请求伪造(cross-site-request-forgrey),CSRF攻击通常是去冒充用户之手去做用户未批准的事情。例如:用户A登录网站B,在与网站B的会话没有结束时被诱导地访问了危险网站C,这是网站C通过恶意的代码去获取用户信息A的身份信息,而恶意网站c会利用用户A身份信息顶着我是A在网站B进行用户A不知情的恶意操作。
cookie在这些过程中扮演的角色:
在哈利波特中,有一个精灵掌管的古阁灵银行。。想要访问深层、安保级别更高的金库需要认证精灵认证的方式才能打开金库大门。而cookie就是那通过身份验证的身份ID。那些攻击者为了进入金库大门对你的金库有所操作,就会诱导你浏览那些包含恶意脚本的网页从而获取你的cookie冒充你在你的金库操作。