xss 和 crsf

crsf 攻击（CSRF（Cross-site request forgery），中文名称：跨站请求伪造）

CSRF攻击原理

1. 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；

2.在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；

3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；

4. 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；

5. 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。

1）验证HTTP Referer字段（不可靠）

2) 在请求中添加token并验证

抵御CSRF攻击的关键在于：在请求中放入攻击者所不能伪造的信息，并且该信息不存在于Cookie之中。

XSS攻击

XSS又称CSS，全称CrossSiteScript，跨站脚本攻击，是Web程序中常见的漏洞，XSS属于被动式且用于客户端的攻击方式，所以容易被忽略其危害性。其原理是攻击者向有 XSS漏洞的网站中输入(传入)恶意的HTML代码，当其它用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户 Cookie、破坏页面结构、重定向到其它网站等。

XSS攻击类似于SQL注入攻击，攻击之前，我们先找到一个存在XSS漏洞的网站。理论上，所有可输入的地方没有对输入数据进行处理的话，都会存在XSS漏洞，漏洞的危害取决于攻击代码的威力。

我们实验中的XSS代码会保存在数据库中，也称为Stored XSS，也即存储式XSS漏洞。由于其攻击代码作为合法的输入已经存储到服务器上的数据库中，其他人在访问该页面的时候，服务器会自动地从数据库中取出该攻击串返回给用户，然后用户的浏览器则会自动执行该段代码，因此，攻击者只需要在自己的页面中写上攻击代码，其他所有访问该页面的人都会受到攻击

解决方法：输入过滤

转载于:https://my.oschina.net/u/3482593/blog/1925895