XSS攻击,又称跨站脚本攻击,英译为Cross-Site Scripting,这是为了避免跟前端语言CSS的简称冲突,所以另命名为XSS。XSS是指黑客提供某些技术手段,向正常用户请求的网页植入恶意脚本,从而在此基础上执行任意脚本,主要用于信息窃取、破坏等目的。XSS主要分为反射型XSS、存储型XSS和DOM型XSS。
在防范XSS攻击上,主要还是通过在用户输入数据做过滤或转义方面下功夫。后端:可以使用Jsoup框架对输入的字符串进行XSS过滤或者使用Spring框架提供的HtmlUtils工具类对字符串进行HTML转义。前端:尽可能使用innerText而不是innerHTML。
CSRF攻击,又称跨站请求伪造,全称为 Cross-Site Request Forgery,也全称为 One-click Attack,即在用户毫不知情的情况下,假冒用户来模拟操作,对已经成功登录的网页上恶意操作,如发表恶意帖子、修改个人信息、群发信息甚至修改密码等等。
虽然从攻击层面上看,两者有很多相似之处,但是CSRF还是有别于XSS的。从技术层面上看,XSS是指黑客在用户请求的网页植入了自己的恶意脚本;而CSRF是指假冒已经成功登录的用户进行 “为所欲为” 的操作。
XSS的关注点是在于用户数据没有进行过滤或转义
CSRF的关注点是在于HTTP接口没有防范不受信任的调用。
防范CSRF攻击主要有以下两种方式:
(1)CSRF Token验证,利用浏览器的同源策略(不同源的客户端脚本无法在没有授权的情况下,直接读取对方资源),在HTTP接口执行前验证页面或者Cookie中设置的Token,只有验证通过才继续执行请求。
(2)人机接口,常见的就是在用户在进行相关重要操作(如修改密码)校验短信验证码
写在最后:对于准备成为一名优秀程序员的朋友,如果你想更好地提升你的编程核心能力(内功),让自己成为一个具有真材实料的厉害的程序员,不妨从现在开始!C/C ,永不过时的编程语言~
编程学习书籍分享:
编程学习视频分享:
整理分享(多年学习的源码、项目实战视频、项目笔记,基础入门教程)
欢迎转行和学习编程的伙伴,利用更多的资料学习成长比自己琢磨更快哦!
对于C/C 感兴趣可以关注小编在后台私信我:【编程交流】一起来学习哦!可以领取一些C/C 的项目学习视频资料哦!已经设置好了关键词自动回复,自动领取就好了!
,
