xss和同源、同站、跨域

跨站脚本(cross site script)为了避免与样式css混淆,所以简称为XSS。 XSS是一种经常出现在web应用中的计算机安全漏洞,也是web中最主流的攻击方式。

XSS 攻击指黑客通过特殊的手段往网页中插入了恶意的 JavaScript 脚本,从而在用户浏览网页时,对用户浏览器发起 Cookie 资料窃取、会话劫持、钓鱼欺骗等各攻击。

4.1 反射型XSS(非持久型)

4.2 存储型XSS(持久型)

参考:https://blog.csdn.net/weixin_53002381/article/details/126017006

跨站请求伪造(CSRF,Cross-site request forgery),也称为 XSRF,Sea Surf 或Session Riding

即跨站请求伪造攻击。

forgery

英/ˈfɔːdʒəri/ 美/ˈfɔːrdʒəri/

n.伪造;赝品;伪造罪;伪造品

CSRF 攻击的三个条件 :

1 . 用户已经登录了站点 A,并在本地记录了 cookie

2 . 在用户没有登出站点 A 的情况下(也就是 cookie 生效的情况下),访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。

3 . 站点 A 没有做任何 CSRF 防御

参考:https://zhuanlan.zhihu.com/p/343515825

源(域):origin

站:site

"源"是scheme(也被称为协议,例如HTTP和HTTPS),主机域名和端口(如果有指定)的结合。例如,给定一个URLhttps://www.example.com:443/foo,它的"源"是https://www.example.com:443

下文scheme统统指例如HTTP或者HTTPS这样的协议。

同源和跨源

相同scheme、主机域名和端口结合的网站被认为是"同源",其他的被认为是"跨源"。

同源是最严格的,scheme、主机域名和端口必须都要相同。

站就是顶级域名TLD加上它之前的部分域名

站其实就是主机域名的限定子集:部分域名+顶级域名。

eTLD+1相同,就是同站。

相比于同源,同站显得相同更加宽容。

同协议同站

同协议同站也就是scheme+(eTLD+1),就可以认为他们同站。

参考:https://blog.csdn.net/YopenLang/article/details/122593075

http请求中:

自己的文章:https://blog.csdn.net/weixin_42995876/article/details/129672776

相关推荐
siwangqishiq218 分钟前
Vulkan Tutorial 教程翻译(四) 绘制三角形 2.2 呈现
前端
李三岁_foucsli20 分钟前
js中消息队列和事件循环到底是怎么个事,宏任务和微任务还存在吗?
前端·chrome
尽欢i20 分钟前
HTML5 拖放 API
前端·html
PasserbyX36 分钟前
一句话解释JS链式调用
前端·javascript
1024小神37 分钟前
tauri项目,如何在rust端读取电脑环境变量
前端·javascript
Nano42 分钟前
前端适配方案深度解析:从响应式到自适应设计
前端
古夕1 小时前
如何将异步操作封装为Promise
前端·javascript
小小小小宇1 小时前
前端定高和不定高虚拟列表
前端
古夕1 小时前
JS 模块化
前端·javascript
wandongle1 小时前
HTML面试整理
前端·面试·html