码迷,mamicode.com
首页 > 其他好文 > 详细

xss和csrf攻击

时间:2015-07-28 00:42:36      阅读:96      评论:0      收藏:0      [点我收藏+]

标签:

xss:跨站脚本攻击(Cross Site Scripting) 。XSS利用站点内的信任用户.恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时
,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS 的根本之道还是过滤用户输入.攻击通过在授权用户访问
的页面中包含链接或者脚本的方式工作

csrf:跨站请求伪造(Cross-site request forgery) 冒充用户在站内的正常操作.
绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的
),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器
端)发起用户所不知道的请求。CSRF 并不一定要有站内的输入,因为它并不属于注入攻击,而是请求伪造。被伪造的请求可以是任何来源,
而非一定是站内。所以我们唯有一条路可行,就是过滤请求的处理者。利用cookie信息,浏览器带着cookie信息访问服务器。
1.你登录了一个网站后,打开一个tab页面并访问另外的网站。
2.在session为失效的情况下访问另一个危险的网站,危险的网站自动提交请求或当点击时提交请求。
防范:通过token,但不能100%杜绝csrf攻击了,由于用户的cookie很容易由网站的xss漏洞而被盗取。

xss和csrf攻击

标签:

原文地址:http://www.cnblogs.com/dapeng520/p/4681624.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!