乐趣区

关于安全:安全CSRF-XSS

Cross-Site Request Forgery 跨站申请伪造

攻击者借助受害者的 cookie 骗取服务器信赖

攻击者结构某个接口的申请参数,诱导用户点击或者用非凡形式让此申请主动执行,用户在登录状态下这个申请被服务端接管后被误认为是用户非法操作

进攻形式

  1. token 验证
  2. referer 验证

Cross-Site Scripting 跨站脚本攻打

原理

产生的本源:将不受信赖的用户内容间接拼接在 html(或 js、css)文档中。当 这个内容通过精心结构后,本来应该被解释成内容的局部被浏览器解释成脚本执行,从而达到执行攻击者逻辑的目标。

分类

存储型

> 将用户数据保留在服务端,具备很强的稳定性
>
> e.g. 博客、评论

反射型

非长久型 XSS

往往须要黑客诱使点击歹意链接失效

DOM

常见攻打目标

  • cookie 劫持:攻击者盗取 cookie,伪装成用户操作网站
  • 钓鱼:利用用户对以后拜访网站的信赖,在以后拜访网站页面弹出或插入输入框让用户输出账号密码并发送到攻击者的服务器
  • 联结 csrf 进行攻打:伪装成用户向网站发送申请

进攻形式

  1. 输出端进行检查和解决(编码、本义、过滤)

    • 存在的问题:

      • 扭转用户输出的语义(原为富文本,须要保留 html 标签)
      • 编码本义后字符与输出不统一,引起后端校验规定和存储长度限度规定不统一的问题
  2. 输入端进行检查和解决

    • 存在的问题:内容可能在多处应用,容易有疏漏
退出移动版