CSRF
基本概念和縮寫: 通常稱爲跨站請求僞造,英文名Cross-site request forgery 縮寫CSRF
攻擊原理
防禦措施
- 在請求地址中添加 Token 並驗證
- 驗證 HTTP Referer 字段
- 隱藏令牌
XSS
基本概念和縮寫: 通常稱爲跨站腳本攻擊,英文名Cross-site scripting
通常是帶有頁面可解析內容的數據未經處理直接插入到頁面上解析造成的。
XSS根據攻擊腳本的引入位置來區分爲:
- 存儲型XSS
- 反射型XSS
- DOM XSS
防止XSS方法:
- 服務端可以做以下動作:
1. 在Cookie中有個屬性時HTTP,設置爲True,不允許JavaScript讀取cookies,但該屬性只適配部分瀏覽器。對於HTTPS可以設置Secure
2. 處理富文本框輸入內容,進行XSS過濾,過濾類似script、iframe、form等標籤以及轉義存儲 - 客戶端可以做以下動作:
1. 輸入檢查,和服務端一樣都要做。
2. 輸出檢查,編碼轉義,如果使用jquery,就是那些append、html、before、after等,插入DOM的方法需要注意。現今大部分的MV*框架在模板(view層)會自動處理XSS問題。