Web安全防范(XSS、CSRF)

ls0609 發(fā)布于2019-06-21 16:42 / 2499人閱讀

摘要：因?yàn)闉g覽器的同源策略，所以不能獲取到其他網(wǎng)站的，但通過把代碼注入到目標(biāo)頁面中，就能繞過同源策略，比如在的中注入代碼，等到數(shù)據(jù)提交到服務(wù)器端，會(huì)保存下來，下次展示頁面的時(shí)候，就會(huì)執(zhí)行這段代碼。

注：以下文章是我從公眾號(hào)“碼農(nóng)翻身”中的《黑客三兄弟》抽取總結(jié)出來的，這個(gè)公眾號(hào)采用說故事的方式講解技術(shù)，清晰通俗易懂，能學(xué)到很多知識(shí)。

XSS(Cross Site Scripting)

利用別人的cookie，可以冒充真實(shí)的用戶，在頒發(fā)cookie的那個(gè)網(wǎng)站中為所欲為。
因?yàn)闉g覽器的同源策略，所以不能獲取到其他網(wǎng)站的cookie，但通過把JavaScript代碼注入到目標(biāo)頁面中，就能繞過同源策略，比如在HTML的中注入JavaScript代碼，等到數(shù)據(jù)提交到服務(wù)器端，會(huì)保存下來，下次展示頁面的時(shí)候，就會(huì)執(zhí)行這段代碼。
舉例有這樣一個(gè)網(wǎng)站，可以讓你對(duì)某個(gè)文章輸入評(píng)論：

等到再次有人訪問這個(gè)頁面的時(shí)候，就可以把那個(gè)人的cookie顯示出來了！
當(dāng)然不能直接把用戶的cookie直接alert出來，而同源策略嚴(yán)格限制了JavaScript的跨域訪問，但同源策略并不限制

總之，只要用戶在訪問icbc.com.cn的時(shí)候，訪問了web.com，就極有可能中招，這種方式，只是利用了一下合法的Cookie，在服務(wù)器看來，發(fā)出的這個(gè)請(qǐng)求是一次合法的請(qǐng)求。這個(gè)就叫跨站請(qǐng)求偽造，Cross Site Request Forgest (CSRF)。

防范措施：

1.用戶在icbc.com.cn轉(zhuǎn)賬，顯示轉(zhuǎn)賬的form，除了常用的字段之外，額外添加一個(gè)token:

這個(gè)token是icbc.com服務(wù)器端生成的，是一個(gè)隨機(jī)的數(shù)字。

2.用戶的轉(zhuǎn)賬數(shù)據(jù)發(fā)送的服務(wù)器端，icbc.com就會(huì)檢查從瀏覽器發(fā)過來的數(shù)據(jù)中有沒有token，并且這個(gè)token的值是不是和服務(wù)器端保存的相等，如果相等，就繼續(xù)執(zhí)行轉(zhuǎn)賬操作，如果不相等，那這次POST請(qǐng)求肯定是偽造的。

這個(gè)token是服務(wù)器端生成的，無法偽造，CSRF的手段也不行了。