用最简单的话，一分钟讲明白xss和csrf攻击，以及如何防御

爱被打了一巴掌 2022-12-01 11:47 86阅读 0赞

导语：  
现在网站经常会遭受到一些攻击，使得用户信息泄露或者用户个人财产受到损伤，本文用最简单的语言，讲述以下xss和csrf攻击，以及他们的防御手段。

### 本文的目录 ###

*  一，xss攻击
 *  二，csrf攻击

# 一，xss攻击 #

这是一种最早期之一的网站攻击方式，同时它现在还被用在一些安全方面做的不好的小网站中作为攻击方式。

**什么是xss攻击呢？**

我来举个简单的例子，用户发表评论到评论区，内容是：

function postcookies() { 
    	let cookies = 当前网页的用户cookie
    	//做成表单，自动提交到黑客的服务器等等代码
    }

这样的评论写上去，然后发布评论，如果这个评论功能没有做一些防御xss攻击的能力，那么这个JavaScript的代码就会被当成一段普通的评论内容提交上去。

接着其他用户在看到这个评论的时候，用户的cookie信息就会被自动提交到黑客的服务器中，从而导致你的账户密码被窃取，信息泄露等问题。

**那么如何预防这个xss攻击呢？**

其实很简单，只要把JavaScript的（< script>< /script>）这个脚本标签进行处理就行了，通常是做一层转义，把<和>转变成’&lt‘和’&gt‘。甚至把单双引号，斜杆这些脚本经常使用到的符号进行转义，从而导致xss攻击失效。

具体可以在前端提交前做一层过滤，后台再过滤一次，这样xss基本就失效了。

# 二，csrf攻击 #

这也是一种常见的网站攻击手段，它主要利用的是我们网站对于用户的信任。

\*\*什么意思呢？\*\*简单讲就是你刚刚登陆了腾讯充值中心，登陆充钱完了，你就关掉网站了，换了另外一个网站`www.xiaomizhou.com`。

然后这个网站里面有个图片或者是超链接，这个url是`www.qq.com/chongzhizhongxin/pay?accout=xiaomizhou&number=10000；`（我们假设这是qq充值中心对于充值的api接口，现实中肯定不是这样也没有这么简单）。只要你点击了这个按钮，你就会向小米粥账户充值10000个q币了。

**为什么能够这样呢？**

因为你刚刚登陆过qq充值系统不久，登陆状态还没有消失，信息都还在，所以能够直接调用接口进行支付。在这个过程中，黑客没办法知道你的用户信息，支付密码，甚至你的账户。但是凭借着qq充值网站对于用户的信任，以为这是你本人的操作，所以执行了。

**那么怎么防御呢？**

只要我们开发人员，在一些重要的接口上设置一个验证过程，而这个验证是需要在qq充值中心网页的一个随机码（可以是时间戳加密），然后通过一系列的加密才能够获得。

而csrf攻击是在`www.xiaomizhou.com`上发布出来的，没有进入到qq充值中心，所以无法获得这个随机数，从而调用接口的时候这个部分的信息为空或者错误，然后调用失败。

![在这里插入图片描述][20200819195904573.png_pic_center]

**建议收藏，不然刷着刷着就可能找不到了**。

> 微信搜索【web小馆】，回复’全栈博客项目‘，即可免费获取项目源码和后续的实战教程，用简单有趣的语言，提升你的计算机基础知识和前端技术。

同时你的点赞是对我最大的鼓励，谢谢。

[20200819195904573.png_pic_center]: /images/20221123/3aeb2c73e21d43e8943229b0711700a3.png

发表评论取消回复

表情：

评论列表（有 0 条评论，86人围观）

还没有评论，来说两句吧...

相关阅读

相关 CSRF是什么?攻击原理?如何防御CSRF?

一.CSRF是什么？　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/sessi

古城微笑少年丶/ 2024年03月22日 18:01/ 0 赞/ 20 阅读

相关用最简单的话，一分钟讲明白xss和csrf攻击，以及如何防御

导语：现在网站经常会遭受到一些攻击，使得用户信息泄露或者用户个人财产受到损伤，本文用最简单的语言，讲述以下xss和csrf攻击，以及他们的防御手段。本文的目录

爱被打了一巴掌/ 2022年12月01日 11:47/ 0 赞/ 87 阅读

相关 XSS攻击、CSRF攻击简介

XSS跨站脚本攻击：[xss攻击原理与解决方法][xss] CSRF跨站脚本伪造：[浅谈CSRF攻击方式][CSRF] [xss]: https://www.cnblog

比眉伴天荒/ 2022年11月29日 05:53/ 0 赞/ 203 阅读

相关 XSS与CSRF攻击防御概念

先看这两篇文章：[XSS攻击原理及防御措施][XSS] [CSRF攻击介绍及防御][CSRF] 攻击概念 CSRF跨站请求伪造（Cross-site request

傷城~/ 2022年07月16日 17:48/ 0 赞/ 214 阅读

相关 CSRF和XSS攻击

本文转载至 http://www.2cto.com/ 本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XS

柔情只为你懂/ 2022年07月11日 06:54/ 0 赞/ 254 阅读

相关浅析XSS和CSRF攻击及防御

原文链接[浅析XSS和CSRF攻击及防御][XSS_CSRF] 定义 > XSS(Cross Site Scripting跨站脚本)，为不和层叠样式表(Cascadin

桃扇骨/ 2022年05月25日 06:12/ 0 赞/ 296 阅读

相关 CSRF攻击与防御

转载地址：http://www.phpddt.com/reprint/csrf.html CSRF概念：CSRF跨站点请求伪造(Cross—Site

灰太狼/ 2022年05月25日 02:55/ 0 赞/ 270 阅读

相关 SpringMVC防御CSRF及XSS攻击（写的非常好）

本文转自：[https://www.cnblogs.com/lupeng2010/p/6518053.html][https_www.cnblogs.com_lupeng20

「爱情、让人受尽委屈。」/ 2022年05月18日 10:06/ 0 赞/ 815 阅读

相关 Spring MVC防御CSRF、XSS和SQL注入攻击

说说CSRF 对[CSRF][]来说，其实[Spring3.1][]、[ASP.NET MVC3][]、Rails、[Django][]等都已经支持自动在涉及POST的地

秒速五厘米/ 2022年04月14日 02:09/ 0 赞/ 555 阅读

相关 XSS及CSRF攻击原理及防御方法

一、概念： XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF（Cross-site request forgery）跨站请求伪造，也被称

绝地灬酷狼/ 2022年03月01日 08:11/ 0 赞/ 311 阅读