常见的Web攻击安全
作者:
素明诚 | 来源:发表于
2020-11-16 17:19 被阅读0次
一、XSS跨站请求攻击
- 一个博客网站,我发表一篇博客,其中嵌入<script>脚本
- 脚本内容:获取cookie,发送到我的服务器(服务器配合跨域)
- 发布这篇博客,有人查看它,我轻松收割访问者的cookie
二、XSS如何防止
- 替换特殊字符,如<变为<;>变为>;
- <script>变为<;script>;,直接显示,而不会作为脚本执行
- 前端替换后端也要替换,都做好防护
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>XSS</title>
</head>
<body>
<script >
</body>
</html>
三、XSRF跨站请求伪造
- 我向你发送一封电子邮件,邮件标题很吸引人
- 邮件正文隐藏着<img src=xxx.com/pay?id=200/>
3.你打开邮件,帮我购买了id=200的商品
四、XSRF预防
- 用post接口(post想跨域很麻烦)
- 增加验证(指纹,密码,口令,或者是短信)
本文标题:常见的Web攻击安全
本文链接:https://www.haomeiwen.com/subject/avkzbktx.html
网友评论