XSS跨站请求攻击
场景:
一个博客网站,我发表一篇博客,其中嵌入<script></script>脚本.
脚本内容:获取cookie,发送到我的服务器(服务端配合跨域).
有人查看这篇博客,我轻松收割访问者的cookie
XSS预防
- 替换特殊字符,如< 变成 < ; >变成 > ;
-
<script>变成 & ltscript >;直接显示,而不会作为脚本执行 - 前端要做替换,后端也要做替换,双重保证。
CSRF跨站请求伪造
场景:
你正在购物,看中了某个商品,商品id是 100.
付费接口是 xxx.com/pay?id=100,但没有任何验证.
我是攻击者,看中一个商品,id是200.
我向你发送一个电子邮件,标题很吸引人.
邮件正文隐藏着<img src="xxx.com/pay?id=200"/>.
你一查看邮件,就买了id为 200的商品.
CSRF预防
- 使用post接口
- 增加验证,如密码,短信验证码,指纹等
网友评论