常见的web前端攻击方式有哪些?

本文深入探讨了XSS(跨站脚本)和XSRF(跨站请求伪造)两种常见网络攻击方式。通过具体场景,阐述了攻击原理及防范措施,如特殊字符替换和使用POST接口增加验证。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XSS跨站请求攻击

场景:

一个博客网站,我发表一篇博客,其中嵌入脚本.
脚本内容:获取cookie,发送到我的服务器(服务端配合跨域).
有人查看这篇博客,我轻松收割访问者的cookie

XSS预防
  • 替换特殊字符,如< 变成 &lt ; >变成 &gt ;
  • <script>变成 & ltscript &gt;直接显示,而不会作为脚本执行
  • 前端要做替换,后端也要做替换,双重保证。
XSRF跨站请求伪造

场景:

你正在购物,看中了某个商品,商品id是 100.
付费接口是 xxx.com/pay?id=100,但没有任何验证.
我是攻击者,看中一个商品,id是200.
我向你发送一个电子邮件,标题很吸引人.
邮件正文隐藏着.
你一查看邮件,就买了id为 200的商品.

XSRF预防
  • 使用post接口
  • 增加验证,如密码,短信验证码,指纹等
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值