0x00 XSS+CSRF
- XSS(Cross-site Scripting):跨站脚本——>攻击者在web页面上插入JavaScript代码
- CSRF(Cross-site Request Forgery):跨站请求伪造
- 场景:我正在登录支付宝完成付款等操作,然后我打开了A站点,A站点会在我不知情的情况下触发一个链接请求或者脚本,然后完成付款操作,这就形成了跨站请求伪造。(可以通过下面的同源策略来解决)
0x01 同源策略
- 同源策略的意思是,比如刚才的例子我发出一个支付请求,它的Referer字段必须是我支付宝的源,不能是A网站的源,这样就可以防止CSRF。聪明的人就会想到,我可以对Referer进行伪造,来欺骗服务器,这也是一种思路。
0x02 举一反三
- 当遇到后台某些页面进不去的话,提示你非法,它可能是检测了Referer地址是不是后台的地址。攻击思路:将Referer修改为后台地址。
- ……………
欢迎关注微信公众号(coder0x00)或扫描下方二维码关注,我们将持续搜寻程序员必备基础技能包提供给大家。
网友评论