网络安全之XSS & CSRF
发布日期:2022-02-22 16:04:50
浏览次数:32
分类:技术文章
本文共 514 字,大约阅读时间需要 1 分钟。
一、XSS攻击
- 原理
向网站注入恶意脚本
- 攻击类型
- 反射型:在客户端向服务器发送请求时注入恶意代码
- 存储型:向服务端提交恶意代码,并将其存储到数据库中
- 文档型:在数据传递过程中截取网络数据包,修改DOM结构
- 防范措施
- 对用户的输入输出进行 过滤/编码
- 在请求头中添加httpOnly,防止通过js获取Cookie
二、CSRF攻击
- 原理
利用网站对用户的信任,黑客通过网站B 诱导用户去访问已经登录的网站A,进行一些违背用户意愿的请求。
注意:在这个攻击过程中,攻击者借助受害者的 Cookie 骗取服务器的信任,但并不能拿到 Cookie,也看不到 Cookie 的内容。
- 防范措施
- 使用验证码验证用户信息
- Cookie的sameSite属性,该属性设置 Cookie 不随着跨域请求发送
- 添加token验证
可以在 HTTP 请求中以参数的形式加入一个随机产生的 token,并在服务器端建立一个拦截器来验证这个 token,如果请求中没有 token 或者 token 内容不正确,则认为可能是 CSRF 攻击而拒绝该请求。
- 验证 页面请求来源 referer,只接受本站请求,服务器才响应
本次分享就到这里啦,感谢观看~
转载地址:https://blog.csdn.net/Conradine_Lian/article/details/115029247 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!
发表评论
最新留言
第一次来,支持一个
[***.219.124.196]2024年03月30日 21时09分07秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
Android中AsyncTask的简单用法
2019-04-26
【Android】 Android中Log调试详解
2019-04-26
【Android】Android中WIFI开发总结(二)
2019-04-26
【Android】Android之WiFi开发应用示例
2019-04-26
【Android】 Android adb常见问题整理
2019-04-26
【Android】 Android体系结构图
2019-04-26
【Android】 Android中spinner下拉列表的使用
2019-04-26
说说在 python 中,如何删除左右两边不需要的字符
2019-04-26
说说如何管理 Spring Boot 中的起步依赖
2019-04-26
说说如何在 Linux 中,新建账号
2019-04-26
说说如何在 linux 中搭建 FTP 服务
2019-04-26
说说如何在 Python 的正则表达式中使用分组
2019-04-26
说说 Python 正则表达式的匹配类型
2019-04-26
说说 Python 的贪心和非贪心匹配策略
2019-04-26
说说在 Python 中,如何找出所有字符串匹配
2019-04-26
说说 Python 正则表达式中的那些字符类别码
2019-04-26
说说 Spring Boot 的条件化注解
2019-04-26
说说如何使用 Python 在 word 中创建表格
2019-04-26
Python 基础知识考题与解答(2020 版)
2019-04-26
说说 Oracle 的 SYSDATE 函数
2019-04-26