摘要:前端安全的分類基本概念和縮寫跨站請求偽造,英文名����,縮寫。攻擊原理不可缺少的兩大因素用戶一定在注冊網(wǎng)站登陸過網(wǎng)站的某一接口有漏洞引誘鏈接會自動攜帶���,不會自動攜帶�。
1.前端安全的分類
CSRF
XSS
2.CSRF
基本概念和縮寫:跨站請求偽造����,英文名Cross-site request forgery,縮寫CSRF��。
攻擊原理:
不可缺少的兩大因素:
1.用戶一定在注冊網(wǎng)站登陸過�;
2.網(wǎng)站的某一接口有漏洞(引誘鏈接會自動攜帶cookie,不會自動攜帶Token)��。
防御措施:
Token驗證(訪問網(wǎng)站后�,服務器將Token存儲在本地,需手動上傳)�;
Referer驗證(referer指的是頁面來源,服務器判斷此頁面是否為本站點的����,是則執(zhí)行����,否則攔截)���;
隱藏令牌(和Token相似�����,他是隱藏在head頭中�����,而不是放在連接上����,會做的比較隱蔽)�。
3.XSS
基本概念和縮寫:跨站腳本攻擊,英文名cross-site scripting�,縮寫XSS。
攻擊原理:http://www.imooc.com/learn/812
防御措施:http://www.imooc.com/learn/812
4.CSRF和XSS區(qū)別
攻擊原理區(qū)別:
CSRF是利用你本身的漏洞�,自動執(zhí)行你本身的接口,依賴于用戶需要登錄你的網(wǎng)站。
XSS不需要做任何登錄認證���,核心原理是向你的頁面注入腳本js,js里包含他想執(zhí)行的操作(通過合法的評論區(qū)注入不可執(zhí)行的JS)�;
防御措施區(qū)別:XSS核心宗旨是讓你插入的JS不可執(zhí)行。
文章版權歸作者所有���,未經(jīng)允許請勿轉載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉載請注明本文地址:http://systransis.cn/yun/11338.html
