Web 安全 跨站 跨域 XSS CSRF

跨站

跨站即 cross-site,它和同站(same-site)相对,对协议和端口号无要求,只要两个 URL 的 eTLD + 1 一致,就能称为同站。那么什么是 eTLD 呢?

eTLD 即 effective top level domain,有效顶级域名,比如 http://juejin.cn 的 eTLD 是 .cn,http://test.org 的 eTLD 是 .org,而 http://chorer.github.io 则是 github.io(注意不是 .io)。而 eTLD + 1 指的是有效顶级域名 + 二级域名,比如对于 http://juejin.cn 来说就是 juejin.cn,对于 http://test.org 来说就是 test.org

跨域

跨域即 cross-domain,它和同源(same-origin)相对,要求两个 URL 的协议、端口号、域名都一致才能称为同源

XSS

XSS 即 Cross-Site Scripting(跨站脚本攻击),指的是黑客将恶意代码注入页面中,只要打开页面,代码就会执行。XSS 攻击可能导致 Cookie 被窃取、个人信息泄露、劫持流量实现恶意跳转等

CSRF

CSRF 即跨站请求伪造,黑客利用请求会携带 Cookie 的特点,冒充用户身份向正常网站发出请求,执行某些非法操作。它的作用过程大概是这样的:

用户登录 http://article.com,服务器验证通过,返回 Cookie 给浏览器保存

假设 Cookie 没过期,这期间黑客诱导用户访问恶意网站 http://evil.com,这个网站中有这么一段代码:

那么恶意网站就会向 http://article.com 发起一个携带 Cookie 的请求,服务端这边验证没问题,就会把 id 为 1 的文章给删除了

这里黑客之所以可以发起 CSRF 攻击,有下面几个原因:

用户:登录了正常网站且没有登出(Cookie 有效),之后访问了恶意网站

黑客:知道执行请求的 URL 和所有的参数

服务端:只使用 Cookie 进行权限验证,没有任何针对 CSRF 的防御措施

img 是支持跨域请求的。其实黑客也可以直接发送一个 AJAX 请求,不过由于同源策略和 CORS 的限制,http://evil.com 是无法向不同源的 http://article.com 发送请求的,所以黑客使用的是天然可以跨域的 img 标签

相关推荐
梦曦i2 小时前
uni-router新推useUniEventChannel,彻底解决页面通信难题
前端·uni-app
柯克七七2 小时前
给老项目加了 TypeScript,本来只想自己爽,结果全公司代码审查标准被我抬高了
前端·vue.js·typescript
yuanlaile2 小时前
前端转 Flutter 自学完整规划,避开跨栈思维转换误区
前端·flutter·flutter跨平台开发
CN_HW2 小时前
Nginx 流量镜像配置文档-双轨国产化
服务器·前端·网络
JNX_SEMI2 小时前
ATR2652 GNSS双频LNA:0.75dB噪声系数与22dB高增益设计
前端·单片机·嵌入式硬件·物联网·硬件工程
GEO_youxuan3 小时前
2026年儿童电话手表推荐:定位精度、通话安全与健康监测深度横评
安全
拾年2753 小时前
Node.js 异步进化论:从 path 路径拼接到 fs 文件读取,我终于理解了回调地狱的救赎之路
前端·node.js
花颜yyds3 小时前
React Konva 开发基础速查手册
前端
数据知道3 小时前
安全报告怎么写才专业:渗透测试报告模板与踩坑
安全·网络安全·漏洞修复·安全报告·渗透测试报告
小粉粉hhh3 小时前
Node.js(五)——编写接口
前端·javascript·node.js