本文深入探讨了XSS(跨站脚本)和XSRF(跨站请求伪造)两种常见网络攻击方式。通过具体场景,阐述了攻击原理及防范措施,如特殊字符替换和使用POST接口增加验证。
XSS跨站请求攻击
场景:
一个博客网站,我发表一篇博客,其中嵌入脚本.
脚本内容:获取cookie,发送到我的服务器(服务端配合跨域).
有人查看这篇博客,我轻松收割访问者的cookie
XSS预防
- 替换特殊字符,如< 变成 < ; >变成 > ;
<script>变成 & ltscript >;直接显示,而不会作为脚本执行- 前端要做替换,后端也要做替换,双重保证。
XSRF跨站请求伪造
场景:
你正在购物,看中了某个商品,商品id是 100.
付费接口是 xxx.com/pay?id=100,但没有任何验证.
我是攻击者,看中一个商品,id是200.
我向你发送一个电子邮件,标题很吸引人.
邮件正文隐藏着.
你一查看邮件,就买了id为 200的商品.
XSRF预防
- 使用post接口
- 增加验证,如密码,短信验证码,指纹等
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
