xss 攻打
1、什么是 xss 攻打?
xss 叫跨站脚本攻打,英文名 cross site scripting,原理是:攻击者在页面内插入歹意脚本,当用户浏览该页面时就会执行脚本代码,因而达到攻打用户的目标。
2、如何进攻 xss 攻打?
a、反射性 xss 是攻击者在 url 前面追加代码,当用户浏览时就会执行脚本,常见的有歹意链接,不拜访不分明的链接。b、存储型的 xss 是攻击者将代码存储到数据库中,等下次访问时执行脚本,因而须要前端和后端做校验过滤,避免影响平安的数据写入数据库中。
3、xss 如何盗取 cookie?
a、在 A 服务器上写一个存储 cookie 的接口
b、设法将获取 cookie 的脚本插入到某个登录用户的页面
4、xss 有 cookie 肯定能够无用户名明码登录吗?
只有 cookie 无效,就能够登录
CSRF 攻打
CSRF 叫跨站申请伪造,Cross Site Request forgery,原理大抵可分为以下步骤:1、用户拜访 A 网站,未退出登录的状况下拜访 B(危险)网站
2、B 网站要求用户拜访 A 并发动一个申请
3、攻击者获取到用户在 A 网站的 Cookie 并模仿用户登录 A 网站
如何进攻?能够结构加密 cookie 信息