CSRF,XSS攻击与预防

CSRF

CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

在使用Cookie作为登录标记的系统上,Cookie泄露是个严重的问题,因此浏览器做了一些优化,浏览器会以域名为单位来存储Cookie,在访问同一个域名的时候自动会带上此域名对应的Cookie,同时你无法通过javascript获取其他域名的Cookie。比如有两个域名A和B,用户在A网站上已经完成了登录,此时Cookie被保存了下来,如果在域名B下面的某个页面上跳转到域名A下面的某个页面,你会发现域名A的Cookie会被带上,同时还发现请求头中的 Referer 是域名B的。

那么在什么情况下会出现呢,比如你再浏览器打开了网站A并登录了进去,此时你不小心打开了恶意网站B,如果网站B幕后的人对网站A很难了解,这样可能就危险了。

如果是普通的页面跳转一般是GET操作,会导致用户信息被泄露。

如果网站B使用的是POST表单提交的话,可能会导致一些修改操作,这就很危险了。

此时后端程序需要校验 Referer才行,或者不使用 Cookie ,改用 JWT 这样的令牌。

XSS

XSS又叫CSS(Cross Site Script),跨站脚本攻击。

试想一下,在一个用户可以发布文章和发布评论的网站上,如果用户输入的内容包含javascript脚本会怎么样,此时浏览器会按照脚本内容执行的,显然这个页面上的脚本是能够获取到诸如Cookie或者header信息的,它可以将这些信息投递到黑客的系统,危害巨大。

防范措施就是在用户提交评论等输入信息的时候,后端程序要做好对特殊字符的转义处理。

相关推荐
前端付豪7 分钟前
项目启动:搭建Vue 3工程化项目
前端·javascript·vue.js
im_AMBER26 分钟前
React 07
前端·笔记·学习·react.js·前端框架
Giant10032 分钟前
Node.js .env 配置指南:安全管理项目秘钥与多环境适配
前端
沢田纲吉35 分钟前
《LLVM IR 学习手记(七):逻辑运算与位运算的实现与解析》
前端·c++·编译器
golang学习记1 小时前
从0死磕全栈之Next.js 重定向全指南:从基础跳转到大规模路由迁移
前端
Mapmost1 小时前
Mapmost地图引擎丨测绘资质“合规门票”
前端
JarvanMo1 小时前
不要在 SwiftUI 中使用 .onAppear() 进行异步(Async)工作——这就是它导致你的 App 出现 Bug 的原因。
前端
Moment1 小时前
Next.js 16 新特性:如何启用 MCP 与 AI 助手协作 🤖🤖🤖
前端·javascript·node.js
吃饺子不吃馅1 小时前
Canvas高性能Table架构深度解析
前端·javascript·canvas
一枚前端小能手1 小时前
🔄 重学Vue之生命周期 - 从源码层面解析到实战应用的完整指南
前端·javascript·vue.js