XSS攻击
- 定义:(Cross-Site Scripting)跨站脚本攻击是一种注入式攻击,在xss攻击中,恶意代码注入到目标网站。由于浏览器在打开目标网站的时候并不知道哪些脚本是恶意的(浏览器也不知道那些是文本哪些是代码),所以浏览器会无差别执行恶意脚本,从而导致用户信息和一些敏感信息被盗取和泄露。XSS分为持久化XSS和非持久化XSS。
- 持久化XSS:将恶意代码存储在DB,用户点击网页访问时发送给浏览器,浏览器读取执行恶意脚本,恶意脚本将用户的cookie偷偷发送给恶意网站。
- 非持久化XSS:引诱用户点击伪装的链接,跳转至错误页面,执行恶意脚本,造成用户信息泄露。
crsf攻击
- crsf攻击:(Cross-Site Request Forgery)跨站请求伪造,简单来说是利用当前用户的登录态冒充该用户去做一些对受害者不利的事情。
- 攻击条件:1.访问过某目标网站生成了本地cookie信息;2.在条件1中cookie信息未失效的时间段内,访问了危险网站。