xss和csrf攻击

xss(Cross site scripting)跨站脚本攻击

xss是指向html或dom中注入恶意脚本,从而在用户浏览页面的时候利用脚本对用户实施攻击的手段

xss可以实现:

  • cookie信息的窃取
  • 监听用户行为(如表单输入提交)
  • 修改dom(伪造登录页面窃取账号密码)
  • 生成浮窗广告

防止xss攻击的策略:

  • 服务器对输入脚本进行过滤或转码
  • 设置cookie为http-only

csrf(cross site request forgery)跨站请求伪造

csrf指引诱用户进入恶意网站,利用用户在其他网站的登录状态发起跨站请求,窃取用户信息。

csrf实现方式:

  • 通过图片url自动发送get请求
  • 构建隐藏表单自动发送post请求
  • 引诱用户点击链接进行攻击

防止csrf攻击的策略:

  • 设置 cookie 时带上SameSite: strict/Lax选项
  • 验证请求的来源站点,通过 origin 和 refere 判断来源站点信息
  • csrf token,浏览器发起请求服务器生成csrf token,发起请求前会验证 csrf token是否合法。第三方网站肯定是拿不到这个token,csrf token 是前后端约定好后写死的。

你可能感兴趣的:(xss,csrf,前端)