乐趣区

关于前端:说说xss与csrf怎么防止

XSS(Cross-site scripting)
CSRF(Cross-site request forgery)
都是 Web 应用程序的安全漏洞,可能会导致用户的个人信息泄露、账户被盗或数据被篡改等问题。
xss:跨站脚本攻打,如果不过滤执行了 js 代码,可能导致 cookie 泄露等。
避免:过滤
XSS 攻打是指攻击者通过注入恶意代码到 Web 页面中,来获取用户的 Cookie、Session ID 等敏感信息。
这些攻打通常通过 JavaScript 脚本实现,攻击者能够创立虚伪的表单或链接,诱骗用户点击并执行恶意代码。为避免 XSS 攻打,能够采取以下措施:

  • 对所有输出数据进行过滤和验证,特地是对用户提交的数据进行严格的过滤和本义。
  • 应用 HTTPOnly 和 Secure 标记来限度 Cookie 的拜访范畴,防止 Cookie 被窃取或篡改。
  • 应用 CSP(Content Security Policy)来限度网站资源的起源和应用形式,能够避免某些类型的 XSS 攻打。

CSRF 攻打是指攻击者利用用户已登录的身份,在用户不知情的状况下发送歹意申请,比方在用户点击某个链接时主动向指标网站发送申请。
这些攻打通常会导致用户的账户被盗或数据被篡改。为避免 CSRF 攻打,能够采取以下措施:

  • 在每个申请中退出随机的 Token,能够验证申请是否来自非法的起源。
  • 应用验证码或其他人机验证技术来避免自动化攻打。
  • 对所有用户操作进行严格的权限管制,确保只有受权的用户能力进行敏感操作。

总的来说,为了保障 Web 应用程序的平安,须要对所有输出数据进行严格的过滤和验证,同时采纳多层次、多种类别的安全措施,以确保应用程序的健壮性和可靠性。
csrf:跨站申请伪造,挟制用户在以后已登录的 Web 应用程序上执行非本意的操作。
避免:设置 token、写操作用 post、JSON API 禁用 CORS、禁用跨域申请、查看 referrer

退出移动版