CSRF、XSS數據庫
基本概念和縮寫api
攻擊原理跨域
防護措施瀏覽器
① 基本概念和縮寫服務器
CSRF:一般稱爲跨站請求僞造,英文名:cross-site request forgery縮寫CSRFjvm
② 攻擊原理
oop
③ 防護措施ui
Token 驗證編碼
Feferer 驗證3d
隱藏令牌
基本概念和縮寫
XSS(cross-site scripting 跨域腳本攻擊)
攻擊原理:http://www.imooc.com/learn/812
防護措施:http://www.imooc.com/learn/812
反射型,存儲型
反射型:發出請求時,XSS代碼出如今URL中,做爲輸入提交到服務器端,服務器解析後響應,XSS代碼隨響應內容一塊兒傳回給瀏覽器,最後瀏覽器解析執行XSS代碼。這個過程向一次反射,因此叫反射型XSS。
存儲型:存儲型XSS和反射型XSS的差異僅在於,提交的代碼會存儲在服務器端(數據庫,內存,文件系統等),下次請求目標頁面時不用再提交XSS代碼。
編碼:對用戶輸入的數據進行HTML Entity編碼
過濾:移除用戶上傳的Dom屬性,如onerror等,移除用戶上傳的style節點,script節點,Iframe節點等。
校訂:避免直接對HTML Entity解碼,使用Dom Parse轉換,校訂不配對的Dom標籤。