离梦之殇 如梦之境

To See Outer. To See Inner.

Web 安全之 XSS 和 CSRF 备忘

XSS

跨站脚本攻击(Cross Site Scripting

攻击方式

  1. 通过inputtextarea注入
  2. 嵌入 JS 脚本
  3. imgonerror
  4. 直接使用 URL 参数

防御方式

  1. 输入验证、过滤
  2. Content-Type
  3. Session、验证码

CSRF

跨站请求伪造 CSRF(Cross-site request forgery)

攻击方式

隐式身份验证机制

防御方式

  1. 验证 HTTP Referer 字段
  2. 验证 token

clickjacking

UI覆盖攻击,点击劫持

攻击方式

使用不可见的 iframe ,欺骗用户进行操作

防御方式

  1. X-FRAME-OPTIONS
  2. 顶层判断

Proudly powered by Hexo and Theme by Hacker
© 2021 Rainbow Yang