-
CSRF
-
基本概念和缩写
- CSRF: 跨站请求伪造,英文名 Cross-site request forgery 的缩写
-
攻击原理
-
3-14 安全类.mp4_20171124_165234.001_看图王.jpg
能被攻击有两点:1 网站中某个接口存在漏洞 2 这个用户在那个网站中登录过
-
防御措施
-
Token 验证
你在访问这个接口的时候浏览器自动上传了cookie,但是没有手动的上传一个token,这个token是你注册成功以后或者你访问这个网站后,服务器会向你本地村存储一个token,在你访问各种接口的时候,如果没有带这个token的话,就不能让你通过验证;如上面例子中如果点击了引诱链接,这个链接就只会自动带cookie,不会自动带token
-
Referer 验证
页面来源,如果服务器判断我这个页面是不是从我这个站点下的页面,如果是我就执行这个动作,如果不是就会拦截
-
隐藏令牌
隐藏在HTTP头中,不会放在链接上
-
-
XSS
-
基本概念和缩写
- XSS : Cross-site scripting 跨域脚本攻击
-
攻击原理
向你页面注入js脚本,比如评论区
-
防御措施
让插入的脚本不可执行
-
网友评论