虽然自己没有遇到过csrf和xss这两种安全问题,项目中也基本上不会考虑到这些,可能是项目里面涉及安全信息的东西基本较少吧。最近是闲着没事看看一些题目,才想起来把这两个给稍微理解下,不过没有遇到过,也只是属于知道有这回事。
CSRF
CSRF (Cross-site request forgery) 意思就是跨站请求伪造;举个大家都用例子,用户在当前信任且已保存登录的银行页面(xyzbank),后又打开黑客伪造一个相似的页面幷包含有有一段不安全的代码,然后有一个诱人的标题连接:
<a href='http://www.xyzbank.com/pay?transferto=hacker&amount=9999' target="_blank">男人看了都把持不住视频...</a>
一些好奇心重的人就会点击进去看看,结果就一不小心就向黑客转了9999钱了。
这是怎么回事呢?首先,用户在信任的网站上登录保存了信息,然后在恶意网站上点击了恶意链接,由于是请求发往xyzbank的,浏览器会默认携带xyzbank的cookie,且具有很强的诱惑力引诱用户前往点击,最后部分用户忍不住诱惑,尝试点击了该恶意按钮。
我们在当前页面保存了我们自己账户的登录信息,那么就会生成相对应的cookie之类的用户认证信息,保存在当前浏览器中。用户点击了刚刚恶意标题按钮,就会向服务器发送一个包含有相对应转账信息的请求,服务器一看到cookie这个认证信息跟服务器保存的信息一致,则会向请求中的目标转去对应的金额。
上面这种的是GET方式的CSRF,那么肯定会有POST的CSRF,一般POST的则是使用form表单:
<form action="http://www.xyzbank.com/pay" method="post">
<input type="text" name="transferto" hidden value='hacker' />
<input type="text" name="amount" hidden value='9999' />
</form>
<script>
document.querySelector('form').submit()
</script>
这种POST类型的攻击页面一旦打开,就立即执行,无声无息,用户感觉不到它的存在。
这两种csrf跨站攻击如果要防御起来其实也很简单:1,增加验证码;2,二次密码认证;3,页面随机token
XSS
XSS, 即为(Cross Site Scripting), 中文名为跨站脚本攻击。
它有几种常见的攻击方式:1.反射型xss,它通过引诱用户点击恶意连接,然后把返回的内容嵌入到页面中,执行相对应的逻辑 ;2.持久型xss,也就是将恶意的代码提交到了服务器,用户每次打开该页面就会执行相对应的恶意代码;
预防方法,可以使用xss过滤器,过滤掉无用数据,保留有效数据,而且在输出到页面的时候,需要对字符转义,防止恶意代码直接执行。然后是使用Http-only,防止脚本读取cookie。
xss攻击我目前还是不是很理解,只是知道大概这几种方式,和大致预防方法,总觉得这种会发生在由后端渲染输出的页面,如果纯粹由前端渲染的页面的话,比较少会发生这种事情。