csrf,xss是什么?

csrf:(Cross-site request forgery)

中文名:跨站请求伪造

原理: 安全网站a生成本地cookie.在不退出a网站的情况下,访问csrf网站

ps('现在最新的浏览器已经解决了这一问题)

常见的防护方法:

  • 生成token(中文名:令牌)验证,用户提交数据中携带token,token不合格就拒绝这个请求
  • referer验证:Referer是http协议中定义的,Referer就是上一个页面的地址,这个是浏览器会在点击一个链接时自动添加到请求头中查看一个request信息.

xss:(Cross Site Scripting)

中文名:跨域脚本攻击

原理:攻击者向有xss漏洞(未对html,js前端语言进行安全检测)的网站输入恶意html代码,当用户访问网站时,执行html代码.

类似于sql注入(sql注入是用户输入sql语句作为输入,从而对数据进行增删改查.),

解决办法:

  • 后端对html,js代码排查
  • 通过正则过滤

解决案例

django中有自带的排查功能

from django.utils.safestring import mark_safe

def view(request):
    ...省略...
    # page_html = "首页"
    page_html = mark_safe("首页")
    ret = {"page_html": page_html}
    return render(request, "demo.html", ret)

哦了,介绍完毕,有问题留言.

你可能感兴趣的:(web,web,安全)