web安全(一)

深入了解:https://segmentfault.com/a/1190000006672214?utm_source=weekly&utm_medium=email&utm_campaign=email_weekly

CSRF

  • 概念:跨站请求伪造(Cross-site request forgery)

  • 攻击原理:用户登陆网站的情况下,利用网站漏洞,自动执行接口


    web安全(一)_第1张图片
    无标题.png
  • 攻击成功必备条件:1.用户登陆过该网站 2.该网站接口存在漏洞

  • 防御措施:
    --Token验证:访问或登录网站后,服务器向客户端下发token,访问各种接口会验证是否携带了token
    --referer验证:判断页面来源是不是本站点
    --隐藏令牌:服务器端生成一个随机数,随机数放到cookie中,增加一个表单隐藏域,值为当前随机数。
    --验证码

XSS

  • 概念:跨站脚本攻击(Cross Site Scripting)
  • 攻击原理:向页面注入js脚本
  • 防御措施:
    --对用户的输出内容进行过滤(进行转义等)
    --不要拿URL中的参数去eval

你可能感兴趣的:(web安全(一))