摘要:前端安全的分類基本概念和縮寫跨站請求偽造�,英文名����,縮寫����。攻擊原理不可缺少的兩大因素用戶一定在注冊網站登陸過網站的某一接口有漏洞引誘鏈接會自動攜帶,不會自動攜帶����。
1.前端安全的分類
CSRF
XSS
2.CSRF
基本概念和縮寫:跨站請求偽造,英文名Cross-site request forgery���,縮寫CSRF。
攻擊原理:
不可缺少的兩大因素:
1.用戶一定在注冊網站登陸過�;
2.網站的某一接口有漏洞(引誘鏈接會自動攜帶cookie��,不會自動攜帶Token)。
防御措施:
Token驗證(訪問網站后�,服務器將Token存儲在本地����,需手動上傳)���;
Referer驗證(referer指的是頁面來源�����,服務器判斷此頁面是否為本站點的����,是則執行,否則攔截)���;
隱藏令牌(和Token相似,他是隱藏在head頭中���,而不是放在連接上,會做的比較隱蔽)���。
3.XSS
基本概念和縮寫:跨站腳本攻擊,英文名cross-site scripting�����,縮寫XSS�����。
攻擊原理:http://www.imooc.com/learn/812
防御措施:http://www.imooc.com/learn/812
4.CSRF和XSS區別
攻擊原理區別:
CSRF是利用你本身的漏洞,自動執行你本身的接口,依賴于用戶需要登錄你的網站。
XSS不需要做任何登錄認證�����,核心原理是向你的頁面注入腳本js���,js里包含他想執行的操作(通過合法的評論區注入不可執行的JS)���;
防御措施區別:XSS核心宗旨是讓你插入的JS不可執行��。
文章版權歸作者所有��,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除�����。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/11338.html
