自己对csrf和xss的一些简单理解

2024-06-07 21:32
文章标签 简单 理解 xss csrf

本文主要是介绍自己对csrf和xss的一些简单理解,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

       虽然自己没有遇到过csrf和xss这两种安全问题,项目中也基本上不会考虑到这些,可能是项目里面涉及安全信息的东西基本较少吧。最近是闲着没事看看一些题目,才想起来把这两个给稍微理解下,不过没有遇到过,也只是属于知道有这回事。

CSRF

       CSRF (Cross-site request forgery) 意思就是跨站请求伪造;举个大家都用例子,用户在当前信任且已保存登录的银行页面(xyzbank),后又打开黑客伪造一个相似的页面并包含有有一段不安全的代码,然后有一个诱人的标题连接:

<a href='http://www.xyzbank.com/pay?transferto=hacker&amount=9999' target="_blank">男人看了都把持不住视频...</a>

一些好奇心重的人就会点击进去看看,结果就一不小心就向黑客转了9999钱了。

       这是怎么回事呢?首先,用户在信任的网站上登录保存了信息,然后在恶意网站上点击了恶意链接,由于是请求发往xyzbank的,浏览器会默认携带xyzbank的cookie,且具有很强的诱惑力引诱用户前往点击,最后部分用户忍不住诱惑,尝试点击了该恶意按钮。

       我们在当前页面保存了我们自己账户的登录信息,那么就会生成相对应的cookie之类的用户认证信息,保存在当前浏览器中。用户点击了刚刚恶意标题按钮,就会向服务器发送一个包含有相对应转账信息的请求,服务器一看到cookie这个认证信息跟服务器保存的信息一致,则会向请求中的目标转去对应的金额。

       上面这种的是GET方式的CSRF,那么肯定会有POST的CSRF,一般POST的则是使用form表单:

<form action="http://www.xyzbank.com/pay" method="post"><input type="text" name="transferto" hidden value='hacker' /><input type="text" name="amount" hidden value='9999' />
</form>
<script>document.querySelector('form').submit()
</script>

这种POST类型的攻击页面一旦打开,就立即执行,无声无息,用户感觉不到它的存在。

      这两种csrf跨站攻击如果要防御起来其实也很简单:1,增加验证码;2,二次密码认证;3,页面随机token

XSS

       XSS, 即为(Cross Site Scripting), 中文名为跨站脚本攻击。

       它有几种常见的攻击方式:1.反射型xss,它通过引诱用户点击恶意连接,然后把返回的内容嵌入到页面中,执行相对应的逻辑 ;2.持久型xss,也就是将恶意的代码提交到了服务器,用户每次打开该页面就会执行相对应的恶意代码;

       预防方法,可以使用xss过滤器,过滤掉无用数据,保留有效数据,而且在输出到页面的时候,需要对字符转义,防止恶意代码直接执行。然后是使用Http-only,防止脚本读取cookie。

       xss攻击我目前还是不是很理解,只是知道大概这几种方式,和大致预防方法,总觉得这种会发生在由后端渲染输出的页面,如果纯粹由前端渲染的页面的话,比较少会发生这种事情。

       

       

这篇关于自己对csrf和xss的一些简单理解的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1040353

相关文章

认识、理解、分类——acm之搜索

普通搜索方法有两种:1、广度优先搜索;2、深度优先搜索; 更多搜索方法: 3、双向广度优先搜索; 4、启发式搜索(包括A*算法等); 搜索通常会用到的知识点:状态压缩(位压缩,利用hash思想压缩)。

csu 1446 Problem J Modified LCS (扩展欧几里得算法的简单应用)

这是一道扩展欧几里得算法的简单应用题,这题是在湖南多校训练赛中队友ac的一道题,在比赛之后请教了队友,然后自己把它a掉 这也是自己独自做扩展欧几里得算法的题目 题意:把题意转变下就变成了:求d1*x - d2*y = f2 - f1的解,很明显用exgcd来解 下面介绍一下exgcd的一些知识点:求ax + by = c的解 一、首先求ax + by = gcd(a,b)的解 这个

hdu2289(简单二分)

虽说是简单二分,但是我还是wa死了  题意:已知圆台的体积,求高度 首先要知道圆台体积怎么求:设上下底的半径分别为r1,r2,高为h,V = PI*(r1*r1+r1*r2+r2*r2)*h/3 然后以h进行二分 代码如下: #include<iostream>#include<algorithm>#include<cstring>#include<stack>#includ

usaco 1.3 Prime Cryptarithm(简单哈希表暴搜剪枝)

思路: 1. 用一个 hash[ ] 数组存放输入的数字,令 hash[ tmp ]=1 。 2. 一个自定义函数 check( ) ,检查各位是否为输入的数字。 3. 暴搜。第一行数从 100到999,第二行数从 10到99。 4. 剪枝。 代码: /*ID: who jayLANG: C++TASK: crypt1*/#include<stdio.h>bool h

uva 10387 Billiard(简单几何)

题意是一个球从矩形的中点出发,告诉你小球与矩形两条边的碰撞次数与小球回到原点的时间,求小球出发时的角度和小球的速度。 简单的几何问题,小球每与竖边碰撞一次,向右扩展一个相同的矩形;每与横边碰撞一次,向上扩展一个相同的矩形。 可以发现,扩展矩形的路径和在当前矩形中的每一段路径相同,当小球回到出发点时,一条直线的路径刚好经过最后一个扩展矩形的中心点。 最后扩展的路径和横边竖边恰好组成一个直

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

poj 1113 凸包+简单几何计算

题意: 给N个平面上的点,现在要在离点外L米处建城墙,使得城墙把所有点都包含进去且城墙的长度最短。 解析: 韬哥出的某次训练赛上A出的第一道计算几何,算是大水题吧。 用convexhull算法把凸包求出来,然后加加减减就A了。 计算见下图: 好久没玩画图了啊好开心。 代码: #include <iostream>#include <cstdio>#inclu

uva 10130 简单背包

题意: 背包和 代码: #include <iostream>#include <cstdio>#include <cstdlib>#include <algorithm>#include <cstring>#include <cmath>#include <stack>#include <vector>#include <queue>#include <map>

【C++高阶】C++类型转换全攻略:深入理解并高效应用

📝个人主页🌹:Eternity._ ⏩收录专栏⏪:C++ “ 登神长阶 ” 🤡往期回顾🤡:C++ 智能指针 🌹🌹期待您的关注 🌹🌹 ❀C++的类型转换 📒1. C语言中的类型转换📚2. C++强制类型转换⛰️static_cast🌞reinterpret_cast⭐const_cast🍁dynamic_cast 📜3. C++强制类型转换的原因📝

深入理解RxJava:响应式编程的现代方式

在当今的软件开发世界中,异步编程和事件驱动的架构变得越来越重要。RxJava,作为响应式编程(Reactive Programming)的一个流行库,为Java和Android开发者提供了一种强大的方式来处理异步任务和事件流。本文将深入探讨RxJava的核心概念、优势以及如何在实际项目中应用它。 文章目录 💯 什么是RxJava?💯 响应式编程的优势💯 RxJava的核心概念