常见面试题:XSS和CSRF原理及防范方法

XSS和CSRF原理及防范方法

XSS 跨站脚本攻击

浏览器向服务器请求的时候被注入脚本攻击

类型 恶意代码有效的位置 插入点
反射型 URL HTML
存储型 服务端数据库 HTML
基于DOM 服务端数据库/客户端存储/URL 前端javascript
  1. 反射型XSS(非持久性跨站脚本攻击)

    攻击方法:

    1. 攻击者把带有恶意脚本代码参数的URL地址发送给用户

      复制代码
         2. 用户点击此链接
      	   3. 服务器端获取请求参数并直接使用,服务器返回结果页面
  2. 存储型XSS(持久性跨站脚本攻击)

    具有攻击性的脚本被保存到了服务器端数据库,并且可以被普通用户完整的从服务中取得并执行,从而获得了在网络上传播的能力。

  3. DOM型

    这种攻击类型不需要服务器端支持,是由于DOM结构修改导致的。

    攻击方法:

    1. 用户打开有恶意的链接
    2. 浏览器在DOM解析的时候直接使用恶意数据
    3. 用户中招
    4. 常见的触发场景就是在修改innerHTML、outerHTML、document.write时

防范手段

  1. 输入过滤
  2. 输出过滤
  3. 加httponly 请求头,锁死cookie

CSRF跨站请求伪造

攻击方法:黑客通过小网站B,诱使用户去访问已经登录了的网站A,进行一些违背用户意愿的请求,造成用户损失

防范手段

  1. 服务器验证 http请求的refer头信息
  2. 请求的时候 传token
  3. 加验证码
相关推荐
梨子同志2 分钟前
Monorepo
前端
lihaozecq3 分钟前
继 Web Coding Agent 后,我做了一个本地优先的桌面 AI Agent
前端·agent
用户2986985301410 分钟前
在 React 中使用 JavaScript 将 Excel 转换为 SVG
前端·javascript·react.js
CodingSpace23 分钟前
ESLint
前端
Csvn31 分钟前
异步错误捕获的六大陷阱:await 裹着 try-catch 就一定稳了吗?
前端
用户0595401744634 分钟前
向量库静默丢数据踩坑实录:Playwright 端到端测试让我排查了72小时
前端·css
星栈38 分钟前
SPA 写累了?试试 LiveView:服务端管状态,前端不写 JS
前端·前端框架·elixir
labixiong42 分钟前
手写Promise--微任务、静态方法、async/await 全搞懂(三)
前端·javascript
Asize1 小时前
CSS 3D:从布局到立方体
前端
梨子同志1 小时前
React
前端