设计的网站,wordpress上传媒体,2022最旺公司名称,网站开发PHP招聘一#xff1a;PHP 1. CSRF 攻击和 XSS 攻击分别代表什么#xff1f; 1.CSRF攻击 1.概念#xff1a; CSRF#xff08;Cross-site request forgery#xff09;跨站请求伪造#xff0c;用户通过跨站请求#xff0c;以合法身份做非法的事情 2.原理#xff1a; 1.登录受信任…一PHP 1. CSRF 攻击和 XSS 攻击分别代表什么 1.CSRF攻击 1.概念 CSRFCross-site request forgery跨站请求伪造用户通过跨站请求以合法身份做非法的事情 2.原理 1.登录受信任网站 A并在本地生成 Cookie。如果用户没有登录网站 A那么网站 B 在诱导的时候请求网站 A 的 api 接口时会提示你登录。 2.在不登出 A 的情况下如果 A 网站存在 CSRF 漏洞此时 B 网站给 A 网站的请求此时相当于是用户访问A 网站会认为是用户发的请求从而 B 网站就成功伪装了你的身份因此叫跨站请求伪造。 3.防范 1.Token 验证 2.Referer 验证Referer 指的是页面请求来源。意思是只接受本站的请求服务器才做响应如果不是就拦截。 2. XSS攻击 1.概念 XSSCross Sit人 Scripting跨域脚本攻击。 2.原理 不需要你做任何的登录认证它会通过合法的操作比如在 url 中输入、在评论框中输入向你的页面注入脚本可能是 JS、html 代码块。 3.防范 1.编码对用户输入进行编码。 2.过滤 移除用户输入和事件相关的属性。过滤 script、style、iframe 等节点 3.校正使用 DOM Parse 转换校正不配对 DOM 标签。 4.HttpOnlyHttpOnly属性是Set-Cookie HTTP 响应标头的可选属性由 Web 服务器在 HTTP 响应中与网页一起发送到 Web 浏览器。下面是使用Set-Cookie标头设置会话 cookie 的示例
HTTP/2.0 200 OK
Content-Type: text/html
Set-Cookie: sessionidQmFieWxvbiA1上面的会话 cookie 不受保护可以在 XSS 攻击中被盗。但是如果会话 cookie 设置如下则可以防止使用 JavaScript 访问它
Set-Cookie: sessionidQmFieWxvbiA1; HttpOnly 4.分类 反射型非持久点击链接执行脚本 存储型持久恶意输入保存数据库其他用户访问执行脚本 基于 DOM恶意修改 DOM 结构基于客户端
参考
XSS 攻击和 CSRF 攻击各自的原理是什么两者又有什么区别以及如何防范_csrf攻击和xss攻击_gqkmiss的博客-CSDN博客
