共计 772 个字符,预计需要花费 2 分钟才能阅读完成。
XSS(Cross-site scripting)
CSRF(Cross-site request forgery)
都是 Web 应用程序的安全漏洞,可能会导致用户的个人信息泄露、账户被盗或数据被篡改等问题。
xss:跨站脚本攻打,如果不过滤执行了 js 代码,可能导致 cookie 泄露等。
避免:过滤
XSS 攻打是指攻击者通过注入恶意代码到 Web 页面中,来获取用户的 Cookie、Session ID 等敏感信息。
这些攻打通常通过 JavaScript 脚本实现,攻击者能够创立虚伪的表单或链接,诱骗用户点击并执行恶意代码。为避免 XSS 攻打,能够采取以下措施:
- 对所有输出数据进行过滤和验证,特地是对用户提交的数据进行严格的过滤和本义。
- 应用 HTTPOnly 和 Secure 标记来限度 Cookie 的拜访范畴,防止 Cookie 被窃取或篡改。
- 应用 CSP(Content Security Policy)来限度网站资源的起源和应用形式,能够避免某些类型的 XSS 攻打。
CSRF 攻打是指攻击者利用用户已登录的身份,在用户不知情的状况下发送歹意申请,比方在用户点击某个链接时主动向指标网站发送申请。
这些攻打通常会导致用户的账户被盗或数据被篡改。为避免 CSRF 攻打,能够采取以下措施:
- 在每个申请中退出随机的 Token,能够验证申请是否来自非法的起源。
- 应用验证码或其他人机验证技术来避免自动化攻打。
- 对所有用户操作进行严格的权限管制,确保只有受权的用户能力进行敏感操作。
总的来说,为了保障 Web 应用程序的平安,须要对所有输出数据进行严格的过滤和验证,同时采纳多层次、多种类别的安全措施,以确保应用程序的健壮性和可靠性。
csrf:跨站申请伪造,挟制用户在以后已登录的 Web 应用程序上执行非本意的操作。
避免:设置 token、写操作用 post、JSON API 禁用 CORS、禁用跨域申请、查看 referrer
正文完