前端安全问题之CSRF和XSS

一、CSRF

 

1、什么是 CSRF

CSRF(全称 Cross-site request forgery),即跨站请求伪造


2、攻击原理

用户登录A网站,并生成 Cookie,在不登出的情况下访问危险网站B

 

3、防御措施

① 加 Token 验证,通过判断页面是否带有 Token 来进行验证

② 加 Referer 验证,通过判断页面的来源进行验证

③ 隐藏令牌,即把 Token 隐藏在 http 的 head 头中

 

 

二、XSS

 

1、什么是 XSS

XSS(全称 Cross Site Scripting),即跨域脚本攻击

 

2、攻击原理

通过合法的操作向页面注入 JS

 

3、防御措施

通过过滤、校正等方式阻止这个 JS 的执行

  • 编码
  • 过滤
  • 校正

 

 

三、CSRF 和 XSS 的区别

 

1、CSRF 需要用户登录,XSS 不用

 

2、CSRF 利用页面的漏洞去执行接口,而 XSS 通过注入 JS

 

你可能感兴趣的:(前端安全问题之CSRF和XSS)