1.XSS 全稱“跨站腳本”,是注入攻擊的一種。其特點是不對服務器端造成任何傷害,而是通過一些正常的站內交互途徑,例如發佈評論,提交含有JavaScript 的內容文本。這時服務器端如果沒有過濾或轉義掉這些腳本,作爲內容發佈到了頁面上,其他用戶訪問這個頁面的時候就會運行這些腳本。
2. CSRF 的全稱是“跨站請求僞造”,是僞造請求,冒充用戶在站內的正常操作。
3.過濾用戶輸入,不允許發佈這種含有站內操作URL 的鏈接。對xss會有用,但阻擋不了CSRF,因爲攻擊者可以通過QQ 或其他網站把這個鏈接發佈上去,爲了僞裝可能還使用bit.ly 壓縮一下網址,這樣點擊到這個鏈接的用戶還是無法阻擋csrf。
4.CSRF 的全稱是“跨站請求僞造”,而 XSS 的全稱是“跨站腳本”。看起來有點相似,它們都是屬於跨站攻擊——不攻擊服務器端而攻擊正常訪問網站的用戶,但前面說了,它們的攻擊類型是不同維度上的分 類。CSRF 顧名思義,是僞造請求,冒充用戶在站內的正常操作。我們知道,絕大多數網站是通過 cookie 等方式辨識用戶身份(包括使用服務器端 Session 的網站,因爲 Session ID 也是大多保存在 cookie 裏面的),再予以授權的。所以要僞造用戶的正常操作,最好的方法是通過 XSS 或鏈接欺騙等途徑,讓用戶在本機(即擁有身份 cookie 的瀏覽器端)發起用戶所不知道的請求。
5.XSS 是實現 CSRF 的諸多途徑中的一條,但絕對不是唯一的一條。一般習慣上把通過 XSS 來實現的 CSRF 稱爲 XSRF。