imagine_tion的博客

一、什么是CSRFCSRF（Cross-site request forgery）跨站请求伪造：攻击者诱导受害者进入第三方网站，在第三方网站中，向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户对被攻击的网站执行某项操作的目的。一个典型的CSRF攻击有着如下的流程：受害者登录a.com，并保留了登录凭证（Cookie）。攻击者引诱受害者访问了b.com。b.com 向 a.com 发送了一个请求：a.com/act=xx。浏览器会默认携带a.co

一、如何预防XSSXSS 攻击有两⼤要素：攻击者提交恶意代码。浏览器执⾏恶意代码。针对第⼀个要素：我们是否能够在⽤户输⼊的过程，过滤掉⽤户输⼊的恶意代码呢？输入过滤在⽤户提交时，由前端过滤输⼊，然后提交到后端。这样做是否可⾏呢？ 答案是不可⾏。⼀旦攻击者绕过前端过滤，直接构造请求，就可以提交恶意代码了。 那么，换⼀个过滤时机：后端在写⼊数据库前，对输⼊进⾏过滤，然后把“安全的”内容，返回给前端。这样是否可行呢？我们举⼀个例子，⼀个正常的⽤户输⼊了 5 < 7 这个内容，在写入数

一、XSS分为哪几类？根据攻击的来源，XSS攻击可分为储存型、反射型、和DOM型三种储存区：恶意代码存放的位置。插入点：由谁取得恶意代码，并插入到网页上。1. 储存型XSS储存型XSS的攻击步骤：攻击者将恶意代码提交到目标网站的数据库中。⽤户打开⽬标网站时，网站服务端将恶意代码从数据库取出，拼接在 HTML 中返回给浏览器。⽤户浏览器接收到响应后解析执⾏，混在其中的恶意代码也被执行。恶意代码窃取用户数据并发送到攻击者的网站，或者冒充用户的行为，调用⽬标网站接口执行攻击者指定的操作。

一、有那些可能引起前端安全的问题跨站脚本（Cross-Site Scripting，XSS）：一种代码注入方式，为了与CSS区分所以被称为XSS，早期常见于网络论坛，起因是网站没有对用户的输入进行严格的限制，使得攻击者可以将脚本上传到帖子让其他人浏览到有恶意脚本的页面，其注入方式很简单包括但不限于Javascript / VBScript / CSS / Flash 等。iframe的滥用：iframe中的内容是由第三方提供的，默认情况下它们不受我们控制，它们可以在iframe中运行Javasc