前言:XSS攻击和CSRF攻击是网络安全领域比较常见的攻击方式,而且这两种攻击方式从名字上来看,同为跨站攻击:XSS攻击为跨站脚本攻击、CSRF攻击为跨站请求伪造,那么XSS攻击和CSRF攻击有什么区别?以下是详细的内容介绍。 CSRF攻击基本概念及防范方法 一、基本概念 CSRF,英文全称Cross-site request forgery,跨站请求
XSS攻击和CSRF攻击是网络安全领域比较常见的攻击方式,而且这两种攻击方式从名字上来看,同为跨站攻击:XSS攻击为跨站脚本攻击、CSRF攻击为跨站请求伪造,那么XSS攻击和CSRF攻击有什么区别?以下是详细的内容介绍。
CSRF攻击基本概念及防范方法
一、基本概念
CSRF,英文全称Cross-site request forgery,跨站请求伪造。也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。
二、防范方法
方法1:Token验证,用的比较多:①服务器发送给客户端一个token;②客户端提交的表单中带着这个token;③如果这个token不合法,那么服务器拒绝这个请求。
方法2:隐藏令牌:将token隐藏在http的head头中,方法二和方法一有点像,本质上没有太大区别,只是使用方式上有区别。
方法3:Referer验证:Referer指的是网页请求来源,意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截。
XSS攻击的基本概念及防范方法
一、基本概念
XSS,全称Cross Site Scripting,跨站脚本攻击。XSS攻击的核心原理是:不需要你做任何的登录认证,它会通过合法的操作,向你的页面注入脚本。
最后导致的结果可能是:盗用cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击。
二、防范方法
方法1:编码:对用户的输入进行HTML Entity编码。
方法2:过滤:移除用户输入的和事件相关的属性。如onerror可以自动触发攻击,还有onclick等。(总而言之,过滤掉一些不安全的内容)移除用户输入的style节点、script节点、Iframe节点。
方法3:校正:避免直接对HTML Entity进行解码。使用DOM parse转换,校正不配对的DOM标签。
DOM parse,这个概念,它的作用是把文本解析成DOM结构。
比较常用的做法是,通过第一步的编码转成文本,然后第三步转成DOM对象,然后经过第二步的过滤。
还有一种简洁的答案:首先是encode,如果是富文本,就白名单。
XSS攻击和CSRF攻击有什么区别?
区别一:CSRF需要用户先登录网站A,获取cookie,XSS不需要登录。
区别二:CSRF是利用网站A本身的漏洞,去请求网站A的api,XSS是向网站A注入js代码,然后执行js里的代码,篡改网站A的内容。
更多网络安全学习相关事宜,推荐关注老男孩教育网络安全培训课程。我们这有专业的网络安全培训课程,还有经验丰富的老师,可以针对不同基础情况的学员制定相应的学习模式,欢迎大家前来试听。
文章出自:http://qh.itpxw.cn/peixun/it/2022115899.html
文章标题:CSRF与XSS攻击基本概念及防范方法!老男孩网络安全培训班
免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉
老男孩教育 访问该机构站点 报名留言 加为好友 用户等级:高级会员
用户级别:0
机构名称:老男孩教育
联 系 人:任女士
联系电话:18710030740
联系手机:18710030740
在线客服:
在 线 QQ:
电子邮件:768386696@qq.com
网站域名:https://www.oldboyedu.com/
注册时间:2019-03-20 15:03
最后登录:2023-02-02 13:02
有不少想要”学Web前端开发”的小伙伴在选择学习方式的时候犹...
Java语言一直处于所有编程语言头部排名位置,因此更多的同学...
都知道Java好,但并不是所有人都能学好Java用好Java,那么想要学...
现如今有不少的同学都开始转头开始”学习UI设计”,想学习无...