您的位置: 首页 > 文章 > Web安全：CSRF与XSS

Web安全：CSRF与XSS

分类: 文章 • 2024-06-16 21:50:04

CSRF

参考资料：http://blog.****.net/stpeace/article/details/53512283
XSS

参考资料：https://www.imooc.com/learn/812

1. CSRF

基本概念和缩写
CSRF，通常称为跨站请求伪造，英文名Cross-site request forgery。
攻击原理

实现CSRF不可或缺的两大因素。
（1）网站中某个接口存在漏洞。
（2）用户在这个注册网站登录过。
防御措施
（1）Token验证
（2）Referer验证
（3）隐藏令牌

2. XSS

基本概念和缩写
XSS（cross-site scripting跨域脚本攻击）
攻击原理
利用合法的渠道向页面注入JS
防御措施
宗旨：让插入的JS不可执行

3. XSS与CSRF的区别

XSS不需要你任何的登录认证，核心原理是向页面注入JS。
CSRF是利用你本身的漏洞去帮你自动执行那些恶意的接口。