CSRF和XSS

CSRF:

基本概念和缩写:CSRF通常称为跨站请求伪造,Cross-site request forgery

攻击原理:

CSRF和XSS_第1张图片

要完成一次CSRF攻击,受害者必须依次完成两个步骤:

  1.登录受信任网站A,并在本地生成Cookie。

  2.在不登出A的情况下,访问危险网站B。

防御措施:

    1、Token验证

    2、Referer验证(Referer指页面来源)

    3、隐藏令牌

 

XSS:跨站脚本攻击

原理:XSS漏洞的产生原因是Web应用未对用户提交请求的数据做充分的检查过滤,允许用户在提交的数据中掺入HTML代码(最主要的是“>”、“<”),并将未经转义的恶意代码输出到第三方用户的浏览器解释执行。

 

 

XSS和CSRF区别:XSS是向你页面注入JS去运行,在JS函数体里去做想做的事情,而CSRF是利用本身的漏洞去帮你自动执行那些接口,CSRF依赖于登录网站

你可能感兴趣的:(CSRF和XSS)