跨站请求伪造(CSRF 或者 XSRF)与跨站脚本(XSS)
2024-08-27 05:59:34
跨站请求伪造
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。这利用了web中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的。
攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户浏览器,让其以用户的名义运行操作。
跨站脚本
跨站脚本(英语:Cross-site scripting,通常简称为:XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
最新文章
- Web设计师值得收藏的10个jQuery特效
- JavaScript Emoji 表情库_js 类似于qq微信的表情库
- 160908、前端开发框架Semantic UI
- 单片机C语言开发学习笔记---动态的数码管
- 4560 NOIP2015 D2T2 子串
- iOS开发——UI_swift篇&;UITableView实现索引功能
- Java使用线程池递归压缩文件夹下面的所有子文件
- Visual Studio 20周年,我和VS不得不说的故事(内含福利)
- 团队作业8——第二次项目冲刺(Beta阶段)第二天
- ELK 构建 MySQL 慢日志收集平台详解
- javascript入门篇(一)
- Mysql 计划任务
- CF1153F Serval and Bonus Problem
- 一款开源免费的WPF图表控件ModernuiCharts
- XML二
- java异步编程降低延迟
- JavaEE - 20181225
- polyfill
- 775. Global and Local Inversions局部取反和全局取反
- DevExpress01、独立使用的控件
热门文章
- Tensorflow-逻辑斯蒂回归
- cuda-convnet在Ubuntu12.04+CUDA5.5下的配置
- Python 装饰器执行顺序
- git config 介绍
- Ubuntu 18.04 LTS 设置代理(系统代理;http 代理;sock5 代理;apt 代理 ...)
- 从零开始学Flask框架-007
- ps 指令
- 接口中的方法都自动的被设置为public,接口中的域被自动设置为public static final
- dB分贝计算
- sprint boot websocket 服务端+html5 示例测试