刘刚刚的个人博客

xss与csrf


最常见的两种攻击方式,对此种攻击的防范应该做为安全的基本常识

xss跨站脚本攻击

当一个页面可以显示用户提交的内容时,如果用户在内容中添加了可执行代码,如果后台没有进行处理,则当有其他的用户访问该页面时,会自动执行用户自己添加的代码。

一般在模板层都会对此类可执行代码进行转义。

csrf跨站请求伪造

在用户登录一个网站A后,如果未关闭网站B,但是网站B在页面内通过脚本发起了一个网站A的请求,那么网站A会自动携带cookie信息,向后台发起请求。如果未经过后台未进行csrf校验,那么这个请求会被认为是一个合法的请求。

主要问题是因为浏览的cookie机制。

校验策略:

  1. 校验refer字段。(但是爬虫可以仿造)
  2. 对敏感信息的访问使用token进行校验
我的名片

昵称:shuta

职业:后台开发(php)

邮箱:648949076@qq.com

站点信息

建站时间: 2020/2/19
网站程序: ANTD PRO VUE + TP6.0
晋ICP备18007778号