资讯专栏INFORMATION COLUMN

Web安全防范(XSS、CSRF)

ls0609 / 2476人阅读

摘要:因为浏览器的同源策略,所以不能获取到其他网站的,但通过把代码注入到目标页面中,就能绕过同源策略,比如在的中注入代码,等到数据提交到服务器端,会保存下来,下次展示页面的时候,就会执行这段代码。

注:以下文章是我从公众号“码农翻身”中的《黑客三兄弟》抽取总结出来的,这个公众号采用说故事的方式讲解技术,清晰通俗易懂,能学到很多知识。
XSS(Cross Site Scripting)

利用别人的cookie,可以冒充真实的用户,在颁发cookie的那个网站中为所欲为。
因为浏览器的同源策略,所以不能获取到其他网站的cookie,但通过把JavaScript代码注入到目标页面中,就能绕过同源策略,比如在HTML的中注入JavaScript代码,等到数据提交到服务器端,会保存下来,下次展示页面的时候,就会执行这段代码。
举例有这样一个网站,可以让你对某个文章输入评论:

等到再次有人访问这个页面的时候,就可以把那个人的cookie显示出来了!
当然不能直接把用户的cookie直接alert出来,而同源策略严格限制了JavaScript的跨域访问,但同源策略并不限制

总之,只要用户在访问icbc.com.cn的时候,访问了web.com,就极有可能中招,这种方式,只是利用了一下合法的Cookie,在服务器看来,发出的这个请求是一次合法的请求。这个就叫跨站请求伪造,Cross Site Request Forgest (CSRF)。

防范措施:

1.用户在icbc.com.cn转账,显示转账的form,除了常用的字段之外,额外添加一个token:

这个token是icbc.com服务器端生成的,是一个随机的数字。

2.用户的转账数据发送的服务器端,icbc.com就会检查从浏览器发过来的数据中有没有token,并且这个token的值是不是和服务器端保存的相等,如果相等,就继续执行转账操作,如果不相等,那这次POST请求肯定是伪造的。

这个token是服务器端生成的,无法伪造,CSRF的手段也不行了。

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/11336.html

相关文章

  • web安全初探

    摘要:安全初探攻击攻击全称跨站脚本攻击,是为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为,是一种在应用中的计算机安全漏洞,它允许恶意用户将代码植入到提供给其它用户使用的页面中。 web安全初探 XSS攻击 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全...

    Y3G 评论0 收藏0
  • web安全初探

    摘要:安全初探攻击攻击全称跨站脚本攻击,是为不和层叠样式表的缩写混淆,故将跨站脚本攻击缩写为,是一种在应用中的计算机安全漏洞,它允许恶意用户将代码植入到提供给其它用户使用的页面中。 web安全初探 XSS攻击 XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全...

    xuhong 评论0 收藏0
  • 关于Web安全的理解

    摘要:最近在学习安全相关的一些知识,目前对安全也只有了一些浅显的理解,下面记录我的一些理解。防御攻击的方法主要是修改数据的接口,尽量使用请求使用同源策略推荐的文章安全之攻击其实还讲了其他的几种方法,但是都没接触过,不太理解,所以没有写下来。 最近在学习web安全相关的一些知识,目前对web安全也只有了一些浅显的理解,下面记录我的一些理解。因为对这一块懂的东西不是很多,有些地方可能写的不对或者...

    2501207950 评论0 收藏0
  • web安全基础

    摘要:安全基础常见的安全攻击手段有很多,比如注入,,,头攻击,攻击,重定向攻击,上传文件攻击等,其中大多数都可以通过三种方法过滤代理转义实体化来解决。个人趋向于安全狗,同时安装服务器安全狗和网站安全狗可以有效地防护攻击。 web安全基础 常见的web安全攻击手段有很多,比如SQL注入,XSS,CSRF,HTTP头攻击,cookie攻击,重定向攻击,上传文件攻击等,其中大多数都可以通过三种方法...

    starsfun 评论0 收藏0
  • 浅谈前端安全

    摘要:安全问题的分类按照所发生的区域分类后端安全问题所有发生在后端服务器应用服务当中的安全问题前端安全问题所有发生在浏览器单页面应用页面当中的安全问题按照团队中哪个角色最适合来修复安全问题分类后端安全问题针对这个安全问题,后端最适合来修复前端安全 安全问题的分类 按照所发生的区域分类 后端安全问题:所有发生在后端服务器、应用、服务当中的安全问题 前端安全问题:所有发生在浏览器、单页面应用、...

    Cympros 评论0 收藏0

发表评论

0条评论

ls0609

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<