一、XSS
XSS是一种跨站脚本攻击,是一种网站应用程序的安全漏洞攻击,是代码注入的一种。
原理:利用网页开发时留下的漏洞,通过巧妙的方法注入恶意代码到网页,使用户加载执行时进行攻击。
恶意程序有:JS、JAVA、HTML等。
防范:
1、使用XSS过滤:输入过滤、输出转义
2、使用HttpOnly cookie:将重要的cookie标记为httpOnly,防止XSS攻击利用document.cookie访问cookie。
二、CSRF
CSRF是一种跨站点请求伪造攻击。
原理:
用户A登录了某个银行网站A,保留了cookie;
在cookie没有过期的前提下,用户A访问了危险网站B;
网站B上有一个img标签,其src属性并不是一张图片,而是一个http请求,该请求要求银行网站A做一些操作;
用户A就被攻击了。
防范:
1、验证码机制:确定请求是不是用户发出的;可以防范大部分CSRF攻击。
相关文章
- 【实习记】2014-08-23网络安全XSS与CSRF总结
- Atitit.java jna 调用c c++ dll的原理与实践 总结 v2 q27
- Mysql中各种与字符编码集(character_set)有关的变量含义
- 比较运算符compareTo()、equals()、==之间的区别与应用总结
- opencv卷积cvFileter2D与卷积边界cvCopyMakeBorder处理图像的总结
- opencv卷积cvFileter2D与卷积边界cvCopyMakeBorder处理图像的总结
- java练习题:输出100以内与7有关的数、百马百担、打分(去掉最高、最低分)、二分法查找数据
- 有关深拷贝与重载运算符函数的问题
- 总结 vb与数据库的连接方法
- Solr学习总结(二)Solr的安装与配置