本文详细介绍了XSS(跨站脚本攻击)和CSRF(跨站请求伪造)两种常见网络安全威胁,探讨了其工作原理及对网站和用户可能造成的危害。同时,提供了有效的预防措施,包括对用户输入的验证、替换敏感字符以及对cookie的严格控制。
XSS(Cross Site Scripting, 跨站脚本攻击)
这是前端最常见的攻击方式。举个栗子:我在一个博客网站正常发表一篇文章,输入汉字、图片和英文,完全没有问题。但是如果我写的是一段恶意的js脚本,例如获取网站的cookie然后传输到自己的服务器上,那我这篇博客的每一次浏览都会执行这个脚本,都会把访客的cookie带到我的服务器上来。
原理就是通过某种方式(发布文章、发布评论)将一段js代码隐秘的输入进去,然后别人再看这篇文章或者评论的时候,都会执行这段代码。JS代码一旦执行,那可就不受控制了,因为它跟网页原有的js代码有同样的权限。例如可以获取server端数据,可以获取cookie等,于是,攻击就这样发生了。
如何预防xss攻击?
XSS的危害
如果你的网站可以随意执行别人输入的js代码,轻则可能导致网页功能缺失,样式损坏,重则会造成用户的信息泄露。
还有利用获取cookie的形式,将cookie传入入侵者的网站上,入侵者就可以模拟cookie登录网站,对用户的信息进行篡改。
XSS这么厉害,我们该如何预防呢?
最根本的方式就是对用户输入的内容进行验证和替换。还可以对cookie进行较强的控制,比如对敏感的cookie可以添加http-only限制,让js获取不到cookie。要替换的字符有:
&替换为:&
<替换为: <
>替换为: >
"替换为: "
'替换为: '
/替换为: /
CSRF(Cross-site request forgery, 跨站请求伪造)
CSRF是借用了操作者的权限来偷偷的完成某个操作,而不是拿到用户的信息。
预防CSRF就是加入各个层级的权限验证,例如现在的购物网站,只要涉及到金钱交易,肯定要输入密码或者指纹才行。除此之外,敏感的接口使用POST而不是GET也是很重要的。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
