xss攻击

1、什么是xss攻击?
xss叫跨站脚本攻击,英文名cross site scripting,原理是:攻击者在页面内插入恶意脚本,当用户浏览该页面时就会执行脚本代码,因此达到攻击用户的目的。
2、如何防御xss攻击?
a、反射性xss是攻击者在url后面追加代码,当用户浏览时就会执行脚本,常见的有恶意链接,不访问不清楚的链接。
b、存储型的xss是攻击者将代码存储到数据库中,等下次访问时执行脚本,因此需要前端和后端做校验过滤,防止影响安全的数据写入数据库中。
3、xss如何盗取cookie?
a、在A服务器上写一个存储cookie的接口
b、设法将获取cookie的脚本插入到某个登录用户的页面
4、xss有cookie一定可以无用户名密码登录吗?
只要cookie有效,就可以登录

CSRF攻击

CSRF叫跨站请求伪造,Cross Site Request forgery,原理大致可分为以下步骤:
1、用户访问A网站,未退出登录的情况下访问B(危险)网站
2、B网站要求用户访问A并发起一个请求
3、攻击者获取到用户在A网站的Cookie并模拟用户登录A网站
如何防御?可以构造加密cookie信息


前端茅台
14 声望0 粉丝

喜欢茅台的前端开发