web安全,常见的攻击以及如何防御

1、CSRF攻击

CSRF即Cross-site request forgery(跨站请求伪造)

(1)表单带一个后端生成的 token,或用XMLHttpRequest附加在header里。

复制代码
<form action="example.com/swap" method="POST">
  <input type="hidden" name="token" value="aaaabbbb">
  ...
</form>

(2)设置cookie属性SameSite 为StrictLax。基本就杜绝了 CSRF 攻击,当然,前提是用户浏览器支持 SameSite 属性。

(3)验证 HTTP Origin或Referer 字段。记录了该 HTTP 请求的来源地址。缺点:Referer 值是由浏览器提供的,因为浏览器限制,不能手动添加和修改referer请求头。使用验证 Referer 值的方法,就是把安全性都依赖于第三方(即浏览器)来保障,从理论上来讲,这样并不安全。对于某些浏览器,比如 IE6 ,目前已经有一些方法可以篡改 Referer 值。用户自己也可以设置浏览器使其在发送请求时不再提供 Referer。

(4)提交验证码。在表单中添加一个随机的数字、字母、图片(缺失一块位置,拖动补齐)验证码。通过强制用户和应用进行交互来有效地遏制CSRF攻击。

参考:

CSRF防御之token认证_csrf token-CSDN博客

2、XSS攻击

XSS即Cross Site Scripting(跨站脚本攻击),攻击者通过各种方式将恶意代码注入到用户的页面中,这样就可以通过脚本进行一些操作。

相关推荐
谭光志6 小时前
Vibe Coding 时代,程序员该何去何从
前端·后端·ai编程
wangruofeng7 小时前
8 小时 10000 星,xAI 把内部编码 Agent 开源了:Grok Build 的架构拆解
开源·github·aigc
胡萝卜术7 小时前
RAG 的知识炼油厂:从原始网页到可检索知识块的工程化之路
面试·架构·github
GoGeekBaird7 小时前
我用 BeeWeave 跑完了一次完整写作闭环
后端·github
wangruofeng8 小时前
2026 年 7 月 GitHub 趋势观察:Skills 生态爆发,744B MoE 跑进消费级机器
github·aigc·ai编程
仿生狮子8 小时前
别再说“全栈”了,AI 时代团队只认这 5 种人
前端·人工智能·后端
kyriewen8 小时前
AI 写的 React 组件,合并前必查的 6 个坏味道——每个都有代码对比
前端·javascript·react.js
Highcharts.js8 小时前
软件开发公司为什么选择 Highcharts?
前端·前端框架·echarts·数据可视化·技术选型·highcharts·图表工具
多加点辣也没关系9 小时前
JavaScript|第13章:原始类型的方法
开发语言·javascript·ecmascript
এ慕ོ冬℘゜9 小时前
深入理解 JavaScript 事件体系:Window、鼠标与键盘事件详解
开发语言·javascript·okhttp