XSS(Cross-site scripting)
CSRF(Cross-site request forgery)
都是Web应用程序的安全漏洞,可能会导致用户的个人信息泄露、账户被盗或数据被篡改等问题。
xss:跨站脚本攻打,如果不过滤执行了js代码,可能导致cookie泄露等。
避免:过滤
XSS攻打是指攻击者通过注入恶意代码到Web页面中,来获取用户的Cookie、Session ID等敏感信息。
这些攻打通常通过JavaScript脚本实现,攻击者能够创立虚伪的表单或链接,诱骗用户点击并执行恶意代码。为避免XSS攻打,能够采取以下措施:
- 对所有输出数据进行过滤和验证,特地是对用户提交的数据进行严格的过滤和本义。
- 应用HTTPOnly和Secure标记来限度Cookie的拜访范畴,防止Cookie被窃取或篡改。
- 应用CSP(Content Security Policy)来限度网站资源的起源和应用形式,能够避免某些类型的XSS攻打。
CSRF攻打是指攻击者利用用户已登录的身份,在用户不知情的状况下发送歹意申请,比方在用户点击某个链接时主动向指标网站发送申请。
这些攻打通常会导致用户的账户被盗或数据被篡改。为避免CSRF攻打,能够采取以下措施:
- 在每个申请中退出随机的Token,能够验证申请是否来自非法的起源。
- 应用验证码或其他人机验证技术来避免自动化攻打。
- 对所有用户操作进行严格的权限管制,确保只有受权的用户能力进行敏感操作。
总的来说,为了保障Web应用程序的平安,须要对所有输出数据进行严格的过滤和验证,同时采纳多层次、多种类别的安全措施,以确保应用程序的健壮性和可靠性。
csrf:跨站申请伪造,挟制用户在以后已登录的Web应用程序上执行非本意的操作。
避免:设置token、写操作用post、JSON API禁用CORS、禁用跨域申请、查看referrer