1,XSS(Cross Site Scripting)跨站腳本攻擊
(用戶對(duì)指定網(wǎng)頁(yè)的信任)
攻擊者在網(wǎng)頁(yè)嵌入客戶端腳本(如JavaScript),當(dāng)用戶瀏覽網(wǎng)頁(yè)時(shí)爹殊,瀏覽器運(yùn)行腳本瓜挽,達(dá)到攻擊者的目的愕宋,如獲取cookie,導(dǎo)航到惡意網(wǎng)站础米,攜帶木馬等抱冷。
如:用戶A在某個(gè)論壇評(píng)論區(qū)崔列,添加獲取登錄cookie的JavaScript腳本梢褐,用戶B登錄后旺遮,瀏覽器自動(dòng)運(yùn)行用戶A加入到評(píng)論區(qū)的腳本獲取用戶B的登錄名和密碼赵讯,竊取用戶B的隱私。
XSS的成因及如何避免:
總結(jié):不要讓用戶輸入類似HTML代碼或JavaScript代碼
1)驗(yàn)證輸入內(nèi)容:驗(yàn)證輸入內(nèi)容耿眉,并把可以符號(hào)變成HTML實(shí)體或轉(zhuǎn)義
2)自己不要坑自己:不要原樣輸出用戶輸入的內(nèi)容
2边翼,CSRF(Cross Site Request Forgery)跨站請(qǐng)求偽造
(網(wǎng)站對(duì)用戶瀏覽器網(wǎng)頁(yè)的信任)
挾持用戶在當(dāng)前已登錄的Web應(yīng)用程序上執(zhí)行非本意的操作的攻擊方法
列如:
防止CSRF攻擊:
1)檢查Referer字段(http頭部字段)
2)添加校驗(yàn)token(類似驗(yàn)證碼),用戶輸入驗(yàn)證碼信息鸣剪,把輸入的驗(yàn)證碼和隨機(jī)生成的驗(yàn)證碼一并提交到服務(wù)器供服務(wù)器檢驗(yàn)
3组底,SQL注入
https://github.com/astaxie/build-web-application-with-golang/blob/master/zh/09.4.md
