XSS 和 CSRF 有什么区别?Java Web 如何防御?

XSS(Cross-Site Scripting)跨站脚本攻击。XSS 攻击的本质是攻击者将恶意脚本注入到网页中,使这些脚本在其他用户浏览该网页时被执行。

攻击类型:

  • 存储型:恶意脚本存储在数据库中(如评论、昵称),用户访问时读取执行。

  • 反射型:脚本通过 URL 参数传入并被网页反射执行。

  • DOM 型 :前端 JavaScript 代码处理不当(如 innerHTML)导致脚本执行。

应对措施 (todo 待细化)

  • 输出编码(Output Encoding)

    • 使用 JSP/Thymeleaf/模板时对用户输入输出前进行 HTML 转义,如:

      <c:out value="${comment}" /> // JSP 中避免输出原始 HTML

  • 前端转义 :避免使用 innerHTML,用 textContent 等安全 API。

  • 使用安全框架:如 OWASP 提供的 ESAPI、Spring Security。

  • 内容安全策略(CSP):在响应头设置 CSP,限制脚本执行:

    Content-Security-Policy: default-src 'self';

CSRF(Cross-Site Request Forgery)跨站请求伪造。 攻击者诱导用户在登录状态下发起对目标站点的非授权请求。例如用户已登录银行站点,攻击者引导其访问恶意链接发起转账请求。

攻击条件

  • 用户已登录并维持会话(通常是 Cookie)

  • 攻击者伪造用户身份发起请求(表单、图片、脚本等)

Java Web 防御措施(todo 不太清除,待细化)

  • CSRF Token 验证(最有效)

    • 每个表单请求携带一个隐藏的随机令牌,后台验证。

    • Spring Security 自动支持 CSRF:http.csrf().enable(); // 默认开启

    • 表单中加:

      <input type="hidden" name="_csrf" value="${_csrf.token}" />

  • Referer / Origin 验证

    • 后端检查请求头中的 RefererOrigin 是否来自本站。
  • SameSite Cookie 属性

相关推荐
国科安芯20 小时前
航天电子模拟前端三大支柱:精密运放、高速运放与电压监控的协同设计方法——ASL8522S/ASL622S/ASL706S技术解析
前端·单片机·嵌入式硬件·fpga开发·架构·安全性测试
神明不懂浪漫21 小时前
【第四章】CSS(二)——文本外观属性与复合选择器
前端·css·经验分享·笔记
kyriewen21 小时前
别再用AI debug了——这5种bug越修越烂
前端·javascript·ai编程
星释1 天前
鸿蒙智能体开发实战:39.鸿蒙壁纸大师 - 前端卡片显示与交互优化
前端·华为·交互·harmonyos·鸿蒙·火山引擎
顾昂_1 天前
内存泄漏排查和 Chrome DevTools 使用教程
前端·javascript·面试
IT_陈寒1 天前
Java线程池这个坑我算是踩明白了
前端·人工智能·后端
31535669131 天前
Superpowers:GPT-5.6 时代下的流程毒瘤
前端·后端
清秋1 天前
全网最全 ECMAScript 攻略( 更新至 ES2026)
前端·javascript·编程语言
Cao_Ron1 天前
用 SVG image symbol 画 ECharts graph 圆形节点
前端
hxy06011 天前
React-Call让你的React组件像异步函数一样调用
前端·react.js