鼎泰网
【网络攻击】XSS和CSRF
创始人
2024-04-02 10:16:56
0

XSS:跨站脚本攻击

用户访问被嵌入脚本的web页面,出发脚本的执行,导致用户的cookie信息别黑客获取,以用户的身份执行执行操作

这个被嵌入脚本web页面,可能是黑客的钓鱼网站,也有可能是别黑客发现漏洞植入脚本的正常服务器

防止:

  1. 过滤任何用户的提交内容,防止脚本被存储到服务器
  2. 对输出进行HTML编码,防止脚本的执行

CSRF: 跨站请求伪造

已经处于登陆状态的用户,访问黑客的链接导致,黑客直接以已经登录的用户身份,发起黑客需要的请求。

防止:

  1. 检查http首部的refer字段的值,是否是网站自身的

    优点:简单
    缺点:
    1. 不安全,refer可以通过浏览器的漏洞进行修改
    2. refer可以被禁止

  2. 通过在请求中携带额外的随机token并验证,token不通过cookie发送到服务器

    优点:比refer更安全
    缺点:实现稍微复杂,需要考虑 token的存储安全

  3. 在 HTTP 头中自定义属性并验证
    通过 XMLHttpRequest 这个类,可以一次性给所有该类请求加上 csrftoken 这个 HTTP 头属性

    优点:简单,token不容易泄露
    缺点:使用场景少,局限性大

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇:信息安全管理与评估 21年国赛真题解析答案(待更新)

下一篇:2023年,前端开发未来可期

相关内容

热门资讯

公公73岁寿宴上,儿媳哽咽感谢... 近日,陕西西安的毛女士在公公73岁寿宴上哽咽致谢,感谢老人主动帮忙带娃,该视频引发热议。 毛女士对记...
巴拿马总统府下令:立即在原址修... 来源:红星新闻 据新华社巴拿马城12月28日电 巴拿马总统府28日发布公告,明确反对拆毁位于巴拿马运...
中指·政策要闻丨住建部部署20... 获取最新政策解读报告 ☞ 戳这里,加入地产/物业/投拓/产城 摘要: 全国住建工作会议召开,部署2...
专业文章丨跨境投资中对东道国法... 【珠海律师、珠海法律咨询、珠海律师事务所、京师律所、京师珠海律所】 (本文转载自北京市京师郑州律师事...
刚见完特朗普,泽连斯基称他将与... 【环球网报道】据美国哥伦比亚广播公司(CBS)等媒体报道,乌克兰总统泽连斯基与美国总统特朗普会晤后表...
亚特兰大0-1小胜国米,赛后评... 在意甲联赛第17轮的较量中,国际米兰在客场以1-0小胜亚特兰大,继续稳居积分榜首位。然而,赛后的评分...
詹姆斯24+5东契奇34+5+... 【搜狐体育战报】北京时间12月29日NBA常规赛,主场作战的湖人以125-101击败国王。艾顿11分...
原创 挑... 高市早苗政府近期对中国发起的一系列挑衅,似乎是一场注定要失败的豪赌。自从她11月7日发表了一些极具争...
最高法:助力完善破产制度,畅通... 最高人民法院12月29日发布7件人民法院惩治逃废债典型案例。据介绍,此次发布的典型案例覆盖面广,扩大...
黑龙江妇幼健康惠民政策再升级 人民网哈尔滨12月29日电 (记者张齐)近年来,黑龙江省卫生健康委员会扎实推进妇女儿童健康保障工作,...