CSRF 攻击和 XSS 攻击分别代表什么?如何防范?

一:PHP

  1. CSRF 攻击和 XSS 攻击分别代表什么?

1.CSRF攻击

1.概念:

CSRF(Cross-site request forgery)跨站请求伪造,用户通过跨站请求,以合法身份做非法的事情

2.原理:

1.登录受信任网站 A,并在本地生成 Cookie。(如果用户没有登录网站 A,那么网站 B 在诱导的时候,请求网站 A 的 api 接口时,会提示你登录)。

2.在不登出 A 的情况下,如果 A 网站存在 CSRF 漏洞,此时 B 网站给 A 网站的请求(此时相当于是用户访问),A 网站会认为是用户发的请求,从而 B 网站就成功伪装了你的身份,因此叫跨站请求伪造。

3.防范:

1.Token 验证

2.Referer 验证:Referer 指的是页面请求来源。意思是只接受本站的请求,服务器才做响应;如果不是,就拦截。

2. XSS攻击

1.概念:

XSS(Cross Sit人 Scripting):跨域脚本攻击。

2.原理:

不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 JS、html 代码块)。

3.防范:

1.编码:对用户输入进行编码。

2.过滤 :移除用户输入和事件相关的属性。(过滤 script、style、iframe 等节点)

3.校正:使用 DOM Parse 转换,校正不配对 DOM 标签。

4.HttpOnly:HttpOnly属性是Set-Cookie HTTP 响应标头的可选属性,由 Web 服务器在 HTTP 响应中与网页一起发送到 Web 浏览器。下面是使用Set-Cookie标头设置会话 cookie 的示例:

复制代码
HTTP/2.0 200 OK
Content-Type: text/html
Set-Cookie: sessionid=QmFieWxvbiA1

上面的会话 cookie 不受保护,可以在 XSS 攻击中被盗。但是,如果会话 cookie 设置如下,则可以防止使用 JavaScript 访问它:

复制代码
Set-Cookie: sessionid=QmFieWxvbiA1; HttpOnly

4.分类:

反射型(非持久):点击链接,执行脚本

存储型(持久):恶意输入保存数据库,其他用户访问,执行脚本

基于 DOM:恶意修改 DOM 结构,基于客户端

参考:

XSS 攻击和 CSRF 攻击各自的原理是什么?两者又有什么区别?以及如何防范?_csrf攻击和xss攻击_gqkmiss的博客-CSDN博客

相关推荐
Lhappy嘻嘻1 天前
Java IO|File 文件操作 + 字节流 / 字符流完整笔记 + 递归删除文件实战
java·笔记·php
2601_963771371 天前
How to Scale Your WordPress Store Traffic in 2026
前端·php·plugin
右耳朵猫AI1 天前
PHP周刊2026W28 | 安全更新、Laravel 13.18、Twig 3.28
开发语言·php·laravel
罗政1 天前
PDF 批量合并工具:本地 AI 自动排序、识别正文日期与合同编号
数据库·pdf·php
糖果店的幽灵1 天前
安全测试从入门到精通_网络基础与HTTPS
网络·https·php
2601_963771371 天前
WordPress SEO Guide: Boost Rankings Without Technical Jargon
前端·php
日取其半万世不竭2 天前
CS2 服务器搜不到?GSLT、端口和启动参数逐项检查
运维·服务器·php
360智汇云2 天前
一次Redis超时引发的“冤案“
数据库·redis·php
ljs6482739512 天前
Linux 网络常用命令与端口基础详解
linux·网络·php
m0_738120722 天前
PHP代码审计基础——超全局变量(三)
开发语言·安全·网络安全·php