web安全CSRF和XSS
web端的安全攻击有CSRF和XSS两种,将通过以下三个方面介绍这两种安全攻击:
1、基本概念和缩写
2、攻击原理
3、防御措施
CSRF
1、基本概念和缩写
CSRF(Cross-site request forgery)跨站请求伪造,是通过伪装成受信任用户的请求来利用受信任的网站进行攻击。
2、攻击原理
3、防御措施
CSRF是攻击者可以利用保存到cookie伪造用户发送请求,所以防御的关键是在请求中放入攻击者不可伪造的信息。
Token验证:在http请求的头信息中增加一个Token字段,并在服务器端判断是否Token一致,通过校验携带的Token信息决定是否允许请求。
Referer验证: 在HTTP头中有一个字段叫Referer,它记录了该HTTP请求的来源地址。如果Referer是可信任的网站来源,则允许,否则拒绝。(例如用户在登录某银行网站A.com后点击转账按钮发送转账请求,此时该请求的头信息的Referer就是有转账按钮的URL,服务器判断是否为银行网站的URL,是的话请求就合法,不是的话就可能是CSRF攻击,则拒绝请求。)
XSS
1、基本概念和缩写
XSS攻击全称跨站脚本攻击,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
2、攻击原理
3、防御措施
过滤:表单提交或者url参数传递前,对需要的参数进行过滤
转化:有时不能对数据进行严格的过滤,那我们也需要对标签进行转换。(比如用户输入:<script>alert("222")</script>,保存后最终存储的会是<script>alert="222;</script>在展现时浏览器会对这些字符转换成文本内容显示,而不是一段可执行的代码。)
有不对的地方欢迎大家指正!
-THE END-
最新文章
- NiceMark——我的Markdown编辑器
- smb服务器命令
- RHCS配置web高可用集群
- ecshop insert用法
- 浅析为什么char类型的范围是 —128~+127
- SQL中的CASE WHEN用法
- GlusterFS集群文件系统概述
- c语言中数组相关问题
- LeetCode刷题笔录Add Binary
- window.showModalDialog 子窗口和父窗口不兼容最新的谷歌
- jQuery的事件和动画
- 娓娓道来c指针 (0)c语言的梦魇:c指针
- jquery各种事件使用方法总结(from:天宇之游)
- 约定Jenkins构建脚本
- MATLAB中“fitgmdist”的用法及其GMM聚类算法
- min cost max flow算法示例
- NET项目发布到IIS上报错:HTTP 错误 403.14
- httpd:RSA certificate configured for SERVER does NOT include an ID which matches the server name
- linux shutdown命令
- java递归构建菜单树