起航学习网

- 让每个人都能学到最前沿新知识、新技能!
起航学习网
当前位置: 起航学习网 > 短期培训 > IT培训 > CSRF与XSS攻击基本概念及防范方法!老男孩网络安全培训班

CSRF与XSS攻击基本概念及防范方法!老男孩网络安全培训班

时间:2022-04-01 14:43:30来源:未知 作者:老男孩教育 已有: 名学员访问该课程

  快捷搜索:

前言:XSS攻击和CSRF攻击是网络安全领域比较常见的攻击方式,而且这两种攻击方式从名字上来看,同为跨站攻击:XSS攻击为跨站脚本攻击、CSRF攻击为跨站请求伪造,那么XSS攻击和CSRF攻击有什么区别?以下是详细的内容介绍。 CSRF攻击基本概念及防范方法 一、基本概念 CSRF,英文全称Cross-site request forgery,跨站请求

  XSS攻击和CSRF攻击是网络安全领域比较常见的攻击方式,而且这两种攻击方式从名字上来看,同为跨站攻击:XSS攻击为跨站脚本攻击、CSRF攻击为跨站请求伪造,那么XSS攻击和CSRF攻击有什么区别?以下是详细的内容介绍。

  CSRF攻击基本概念及防范方法

  一、基本概念

  CSRF,英文全称Cross-site request forgery,跨站请求伪造。也被称为“One Click Attack”或者“Session Riding”,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

  二、防范方法

  方法1:Token验证,用的比较多:①服务器发送给客户端一个token;②客户端提交的表单中带着这个token;③如果这个token不合法,那么服务器拒绝这个请求。

  方法2:隐藏令牌:将token隐藏在http的head头中,方法二和方法一有点像,本质上没有太大区别,只是使用方式上有区别。

  方法3:Referer验证:Referer指的是网页请求来源,意思是,只接受本站的请求,服务器才做响应;如果不是,就拦截。

  XSS攻击的基本概念及防范方法

  一、基本概念

  XSS,全称Cross Site Scripting,跨站脚本攻击。XSS攻击的核心原理是:不需要你做任何的登录认证,它会通过合法的操作,向你的页面注入脚本。

  最后导致的结果可能是:盗用cookie破坏页面的正常结构,插入广告等恶意内容D-doss攻击。

  二、防范方法

  方法1:编码:对用户的输入进行HTML Entity编码。

  方法2:过滤:移除用户输入的和事件相关的属性。如onerror可以自动触发攻击,还有onclick等。(总而言之,过滤掉一些不安全的内容)移除用户输入的style节点、script节点、Iframe节点。

  方法3:校正:避免直接对HTML Entity进行解码。使用DOM parse转换,校正不配对的DOM标签。

  DOM parse,这个概念,它的作用是把文本解析成DOM结构。

  比较常用的做法是,通过第一步的编码转成文本,然后第三步转成DOM对象,然后经过第二步的过滤。

  还有一种简洁的答案:首先是encode,如果是富文本,就白名单。

  XSS攻击和CSRF攻击有什么区别?

  区别一:CSRF需要用户先登录网站A,获取cookie,XSS不需要登录。

  区别二:CSRF是利用网站A本身的漏洞,去请求网站A的api,XSS是向网站A注入js代码,然后执行js里的代码,篡改网站A的内容。

  更多网络安全学习相关事宜,推荐关注老男孩教育网络安全培训课程。我们这有专业的网络安全培训课程,还有经验丰富的老师,可以针对不同基础情况的学员制定相应的学习模式,欢迎大家前来试听。

文章出自:http://qh.itpxw.cn/peixun/it/2022115899.html

文章标题:CSRF与XSS攻击基本概念及防范方法!老男孩网络安全培训班



免责声明:本站文章均由入驻起航学习网的会员所发或者网络转载,所述观点仅代表作者本人,不代表起航学习网立场。如有侵权或者其他问题,请联系举报,必删。侵权投诉

(责任编辑:深圳学历教育网)
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
培训学校
老男孩教育 访问该机构站点 报名留言 加为好友 用户等级:高级会员 用户级别:0 机构名称:老男孩教育 联 系 人:任女士 联系电话:18710030740 联系手机:18710030740 在线客服:起航学习网客服 在 线 QQ:起航学习网客服 电子邮件:768386696@qq.com 网站域名:https://www.oldboyedu.com/ 注册时间:2019-03-20 15:03 最后登录:2023-02-02 13:02
推荐内容