1.前端安全的分类

  • CSRF
  • XSS

2.CSRF

基本概念和缩写:跨站请求伪造,英文名Cross-site request forgery,缩写CSRF。
攻击原理
CSRF攻击原理

不可缺少的两大因素:
1.用户一定在注册网站登陆过;
2.网站的某一接口有漏洞(引诱链接会自动携带cookie,不会自动携带Token)。

防御措施

  • Token验证(访问网站后,服务器将Token存储在本地,需手动上传);
  • Referer验证(referer指的是页面来源,服务器判断此页面是否为本站点的,是则执行,否则拦截);
  • 隐藏令牌(和Token相似,他是隐藏在head头中,而不是放在连接上,会做的比较隐蔽)。

3.XSS

基本概念和缩写:跨站脚本攻击,英文名cross-site scripting,缩写XSS。
攻击原理http://www.imooc.com/learn/812
防御措施http://www.imooc.com/learn/812

4.CSRF和XSS区别

攻击原理区别

  • CSRF是利用你本身的漏洞,自动执行你本身的接口,依赖于用户需要登录你的网站。
  • XSS不需要做任何登录认证,核心原理是向你的页面注入脚本js,js里包含他想执行的操作(通过合法的评论区注入不可执行的JS);

防御措施区别:XSS核心宗旨是让你插入的JS不可执行。


stefanieliang
190 声望19 粉丝

一天一笔记~