深圳网站建设 案例,做网站的域名是做什么用的,做那个网站的图客比较好,阿里指数官网最新版本前端攻击
1. CSRF的基本概念、缩写、全称 CSRF#xff08;Cross-site request forgery#xff09;#xff1a;跨站请求伪造。 从上图可以看出#xff0c;要完成一次CSRF攻击#xff0c;受害者必须满足两个必要的条件#xff1a;
登录受信任网站A#xff0c;并在本地生…前端攻击
1. CSRF的基本概念、缩写、全称 CSRFCross-site request forgery跨站请求伪造。 从上图可以看出要完成一次CSRF攻击受害者必须满足两个必要的条件
登录受信任网站A并在本地生成Cookie。如果用户没有登录网站A那么网站B在诱导的时候请求网站A的api接口时会提示你登录在不登出A的情况下访问危险网站B其实是利用了网站A的漏洞。 温馨提示一下cookie保证了用户可以处于登录状态但网站B其实拿不到 cookie。 CSRF的防范措施
方法一、Token 验证用的最多
服务器发送给客户端一个token客户端提交的表单中带着这个token。如果这个 token 不合法那么服务器拒绝这个请求。
方法二隐藏令牌
把 token 隐藏在 http 的 head头中。 方法二和方法一有点像本质上没有太大区别只是使用方式上有区别。 方法三、Referer 验证 Referer 指的是页面请求来源。意思是只接受本站的请求服务器才做响应如果不是就拦截。 2. XSS的攻击原理 XSS攻击的核心原理是不需要你做任何的登录认证它会通过合法的操作比如在url中输入、在评论框中输入向你的页面注入脚本可能是js、hmtl代码块等。 最后导致的结果可能是
盗用Cookie破坏页面的正常结构插入广告等恶意内容D-doss攻击
XSS的防范措施主要有三个
1. 编码 对用户输入的数据进行HTML Entity编码。 2、过滤
移除用户输入的和事件相关的属性。如onerror可以自动触发攻击还有onclick等。总而言是过滤掉一些不安全的内容移除用户输入的Style节点、Script节点、Iframe节点。尤其是Script节点它可是支持跨域的呀一定要移除。
3. CSRF 和 XSS 的区别
CSRF是利用网站A本身的漏洞去请求网站A的api。XSS是向网站 A 注入 JS代码然后执行 JS 里的代码篡改网站A的内容。
