价格对比网站开发,旅游类网站开发任务书,1688阿里巴巴官网首页,seo专业培训机构CSRF
CSRF#xff08;Cross-site request forgery#xff09;跨站请求伪造#xff0c;也被称为“One Click Attack”或者Session Riding#xff0c;通常缩写为CSRF或者XSRF#xff0c;是一种对网站的恶意利用。
在使用Cookie作为登录标记的系统上#xff0c;Cookie泄露…CSRF
CSRFCross-site request forgery跨站请求伪造也被称为“One Click Attack”或者Session Riding通常缩写为CSRF或者XSRF是一种对网站的恶意利用。
在使用Cookie作为登录标记的系统上Cookie泄露是个严重的问题因此浏览器做了一些优化浏览器会以域名为单位来存储Cookie在访问同一个域名的时候自动会带上此域名对应的Cookie同时你无法通过javascript获取其他域名的Cookie。比如有两个域名A和B用户在A网站上已经完成了登录此时Cookie被保存了下来如果在域名B下面的某个页面上跳转到域名A下面的某个页面你会发现域名A的Cookie会被带上同时还发现请求头中的 Referer 是域名B的。
那么在什么情况下会出现呢比如你再浏览器打开了网站A并登录了进去此时你不小心打开了恶意网站B如果网站B幕后的人对网站A很难了解这样可能就危险了。
如果是普通的页面跳转一般是GET操作会导致用户信息被泄露。
如果网站B使用的是POST表单提交的话可能会导致一些修改操作这就很危险了。
此时后端程序需要校验 Referer才行或者不使用 Cookie 改用 JWT 这样的令牌。
XSS
XSS又叫CSSCross Site Script跨站脚本攻击。
试想一下在一个用户可以发布文章和发布评论的网站上如果用户输入的内容包含javascript脚本会怎么样此时浏览器会按照脚本内容执行的显然这个页面上的脚本是能够获取到诸如Cookie或者header信息的它可以将这些信息投递到黑客的系统危害巨大。
防范措施就是在用户提交评论等输入信息的时候后端程序要做好对特殊字符的转义处理。
