xss和同源、同站、跨域

跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。
XSS 攻击指黑客通过特殊的手段往网页中插入了恶意的 JavaScript 脚本,从而在用户浏览网页时,对用户浏览器发起 Cookie 资料窃取、会话劫持、钓鱼欺骗等各攻击。

4.1 反射型XSS(非持久型)
xss和同源、同站、跨域_第1张图片
4.2 存储型XSS(持久型)
xss和同源、同站、跨域_第2张图片
参考:https://blog.csdn.net/weixin_53002381/article/details/126017006

跨站请求伪造(CSRF,Cross-site request forgery),也称为 XSRF,Sea Surf 或Session Riding
即跨站请求伪造攻击。

forgery
英/ˈfɔːdʒəri/ 美/ˈfɔːrdʒəri/
n.伪造;赝品;伪造罪;伪造品

CSRF 攻击的三个条件 :

1 . 用户已经登录了站点 A,并在本地记录了 cookie

2 . 在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。

3 . 站点 A 没有做任何 CSRF 防御

xss和同源、同站、跨域_第3张图片
参考:https://zhuanlan.zhihu.com/p/343515825

源(域):origin
站:site
xss和同源、同站、跨域_第4张图片
“源”是scheme(也被称为协议,例如HTTP和HTTPS),主机域名和端口(如果有指定)的结合。例如,给定一个URLhttps://www.example.com:443/foo,它的“源”是https://www.example.com:443。

下文scheme统统指例如HTTP或者HTTPS这样的协议。

同源和跨源

相同scheme、主机域名和端口结合的网站被认为是“同源”,其他的被认为是“跨源”。
同源是最严格的,scheme、主机域名和端口必须都要相同。

xss和同源、同站、跨域_第5张图片
站就是顶级域名TLD加上它之前的部分域名

站其实就是主机域名的限定子集:部分域名+顶级域名。

eTLD+1相同,就是同站。
相比于同源,同站显得相同更加宽容。

同协议同站
xss和同源、同站、跨域_第6张图片
同协议同站也就是scheme+(eTLD+1),就可以认为他们同站。
参考:https://blog.csdn.net/YopenLang/article/details/122593075

http请求中:
在这里插入图片描述
自己的文章:https://blog.csdn.net/weixin_42995876/article/details/129672776

你可能感兴趣的:(xss,前端)