-
CSRF
-
基本概念和縮寫
- CSRF: 跨站請(qǐng)求偽造,英文名 Cross-site request forgery 的縮寫
攻擊原理
-
3-14 安全類.mp4_20171124_165234.001_看圖王.jpg
能被攻擊有兩點(diǎn):1 網(wǎng)站中某個(gè)接口存在漏洞 2 這個(gè)用戶在那個(gè)網(wǎng)站中登錄過(guò)
-
防御措施
-
Token 驗(yàn)證
你在訪問這個(gè)接口的時(shí)候?yàn)g覽器自動(dòng)上傳了cookie,但是沒有手動(dòng)的上傳一個(gè)token,這個(gè)token是你注冊(cè)成功以后或者你訪問這個(gè)網(wǎng)站后,服務(wù)器會(huì)向你本地村存儲(chǔ)一個(gè)token,在你訪問各種接口的時(shí)候,如果沒有帶這個(gè)token的話,就不能讓你通過(guò)驗(yàn)證;如上面例子中如果點(diǎn)擊了引誘鏈接,這個(gè)鏈接就只會(huì)自動(dòng)帶cookie,不會(huì)自動(dòng)帶token
-
Referer 驗(yàn)證
頁(yè)面來(lái)源,如果服務(wù)器判斷我這個(gè)頁(yè)面是不是從我這個(gè)站點(diǎn)下的頁(yè)面,如果是我就執(zhí)行這個(gè)動(dòng)作,如果不是就會(huì)攔截
-
隱藏令牌
隱藏在HTTP頭中,不會(huì)放在鏈接上
-
-
XSS
-
基本概念和縮寫
- XSS : Cross-site scripting 跨域腳本攻擊
-
攻擊原理
向你頁(yè)面注入js腳本,比如評(píng)論區(qū)
-
防御措施
讓插入的腳本不可執(zhí)行
-
