web安全CSRF和XSS
web端的安全攻击有csrf和xss两种,将通过以下三个方面介绍这两种安全攻击:
1、基本概念和缩写
2、攻击原理
3、防御措施
csrf
1、基本概念和缩写
csrf(cross-site request forgery)跨站请求伪造,是通过伪装成受信任用户的请求来利用受信任的网站进行攻击。
2、攻击原理
3、防御措施
csrf是攻击者可以利用保存到cookie伪造用户发送请求,所以防御的关键是在请求中放入攻击者不可伪造的信息。
token验证:在http请求的头信息中增加一个token字段,并在服务器端判断是否token一致,通过校验携带的token信息决定是否允许请求。
referer验证: 在http头中有一个字段叫referer,它记录了该http请求的来源地址。如果referer是可信任的网站来源,则允许,否则拒绝。(例如用户在登录某银行网站a.com后点击转账按钮发送转账请求,此时该请求的头信息的referer就是有转账按钮的url,服务器判断是否为银行网站的url,是的话请求就合法,不是的话就可能是csrf攻击,则拒绝请求。)
xss
1、基本概念和缩写
xss攻击全称跨站脚本攻击,xss是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
2、攻击原理
3、防御措施
过滤:表单提交或者url参数传递前,对需要的参数进行过滤
转化:有时不能对数据进行严格的过滤,那我们也需要对标签进行转换。(比如用户输入:<script>alert("222")</script>,保存后最终存储的会是<script>alert="222;</script>在展现时浏览器会对这些字符转换成文本内容显示,而不是一段可执行的代码。)
end
有不对的地方欢迎大家指正!
上一篇: 获取DOM元素到页面顶部的距离,亲测有效版本(转载)
下一篇: jQuery的一点小结
推荐阅读
-
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
-
#WEB安全基础 : HTML/CSS | 0x11 浅谈GET和POST
-
PHP开发中常见的安全问题详解和解决方法(如Sql注入、CSRF、Xss、CC等)
-
Win2008 R2 WEB 服务器安全设置指南之禁用不必要的服务和关闭端口
-
Web系统安全问题整理(XSS攻击)
-
[网络安全学习篇6]:WEB服务器和FTP服务器(千峰网络安全视频笔记 6 day)
-
Web安全相关(一):跨站脚本攻击(XSS)
-
web安全CSRF和XSS
-
Web安全之跨站脚本攻击(XSS)
-
#WEB安全基础 : HTML/CSS | 0x7HTML5和W3C验证