2018-01-14 XSS攻擊和CSRF

XSS:Cross-site Scripting

Cross-Site Scripting (XSS) attacks are a type of injection, in which malicious scripts are injected into otherwise benign and trusted web sites. XSS attacks occur when an attacker uses a web application to send malicious code, generally in the form of a browser side script, to a different end user. Flaws that allow these attacks to succeed are quite widespread and occur anywhere a web application uses input from a user within the output it generates without validating or encoding it.

Also, it's crucial that you turn off HTTP TRACE support on all webservers. An attacker can steal cookie data via Javascript even when document.cookie is disabled or not supported on the client. This attack is mounted when a user posts a malicious script to a forum so when another user clicks the link, an asynchronous HTTP Trace call is triggered which collects the user's cookie information from the server, and then sends it over to another malicious server that collects the cookie information so the attacker can mount a session hijack attack. This is easily mitigated by removing support for HTTP TRACE on all webservers.

link:https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)

解決方式:
1赤屋、后臺(tái)數(shù)據(jù)過(guò)濾關(guān)鍵標(biāo)簽趁矾,Django中用mark_safe 顯示相關(guān)數(shù)據(jù)
2徘六、前端數(shù)據(jù)用管道符+safe渲染。

CSRF (Cross-site Request-Forgery):
official site:
https://en.wikipedia.org/wiki/Cross-site_request_forgery

Cross-site request forgery, also known as one-click attack or session riding and abbreviated as CSRF (sometimes pronounced sea-surf[1]) or XSRF, is a type of malicious exploit of a websitewhere unauthorized commands are transmitted from a user that the web application trusts.[2] There are many ways in which a malicious website can transmit such commands; specially-crafted image tags, hidden forms, and JavaScript XMLHttpRequests, for example, can all work without the user's interaction or even knowledge. Unlike cross-site scripting (XSS), which exploits the trust a user has for a particular site, CSRF exploits the trust that a site has in a user's browser.

本質(zhì)上是防止從別的網(wǎng)站向自己網(wǎng)站發(fā)post請(qǐng)求, 客戶(hù)來(lái)訪(fǎng)問(wèn)網(wǎng)站懂扼,網(wǎng)站會(huì)向客戶(hù)發(fā)送隨機(jī)字符串,然后客戶(hù)帶隨機(jī)字符串發(fā)送post請(qǐng)求
只有帶隨機(jī)字符串來(lái),網(wǎng)站才認(rèn),一般是post請(qǐng)求才要求帶隨機(jī)字符串琼梆,其它網(wǎng)站第一次來(lái)不會(huì)帶隨機(jī)字符串羔杨。

如何防御捌臊?

首先服務(wù)器端要以某種策略生成隨機(jī)字符串,作為令牌(token)兜材,保存在 Session 里理澎。然后在發(fā)出請(qǐng)求的頁(yè)面,把該令牌以隱藏域一類(lèi)的形式曙寡,與其他信息一并發(fā)出糠爬。在接收請(qǐng)求的頁(yè)面,把接收到的信息中的令牌與 Session 中的令牌比較举庶,只有一致的時(shí)候才處理請(qǐng)求执隧,處理完成后清理session中的值,否則返回 HTTP 403 拒絕請(qǐng)求或者要求用戶(hù)重新登陸驗(yàn)證身份

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末灯变,一起剝皮案震驚了整個(gè)濱河市殴玛,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌添祸,老刑警劉巖滚粟,帶你破解...
    沈念sama閱讀 217,277評(píng)論 6 503
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異刃泌,居然都是意外死亡凡壤,警方通過(guò)查閱死者的電腦和手機(jī)署尤,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,689評(píng)論 3 393
  • 文/潘曉璐 我一進(jìn)店門(mén),熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)亚侠,“玉大人曹体,你說(shuō)我怎么就攤上這事∠趵茫” “怎么了箕别?”我有些...
    開(kāi)封第一講書(shū)人閱讀 163,624評(píng)論 0 353
  • 文/不壞的土叔 我叫張陵,是天一觀(guān)的道長(zhǎng)滞谢。 經(jīng)常有香客問(wèn)我串稀,道長(zhǎng),這世上最難降的妖魔是什么狮杨? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 58,356評(píng)論 1 293
  • 正文 為了忘掉前任母截,我火速辦了婚禮,結(jié)果婚禮上橄教,老公的妹妹穿的比我還像新娘清寇。我一直安慰自己,他們只是感情好护蝶,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,402評(píng)論 6 392
  • 文/花漫 我一把揭開(kāi)白布华烟。 她就那樣靜靜地躺著,像睡著了一般滓走。 火紅的嫁衣襯著肌膚如雪垦江。 梳的紋絲不亂的頭發(fā)上,一...
    開(kāi)封第一講書(shū)人閱讀 51,292評(píng)論 1 301
  • 那天搅方,我揣著相機(jī)與錄音比吭,去河邊找鬼。 笑死姨涡,一個(gè)胖子當(dāng)著我的面吹牛衩藤,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播涛漂,決...
    沈念sama閱讀 40,135評(píng)論 3 418
  • 文/蒼蘭香墨 我猛地睜開(kāi)眼赏表,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來(lái)了匈仗?” 一聲冷哼從身側(cè)響起瓢剿,我...
    開(kāi)封第一講書(shū)人閱讀 38,992評(píng)論 0 275
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎悠轩,沒(méi)想到半個(gè)月后间狂,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,429評(píng)論 1 314
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡火架,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,636評(píng)論 3 334
  • 正文 我和宋清朗相戀三年鉴象,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了忙菠。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,785評(píng)論 1 348
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡纺弊,死狀恐怖牛欢,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情淆游,我是刑警寧澤傍睹,帶...
    沈念sama閱讀 35,492評(píng)論 5 345
  • 正文 年R本政府宣布,位于F島的核電站稽犁,受9級(jí)特大地震影響焰望,放射性物質(zhì)發(fā)生泄漏骚亿。R本人自食惡果不足惜已亥,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,092評(píng)論 3 328
  • 文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望来屠。 院中可真熱鬧虑椎,春花似錦、人聲如沸俱笛。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 31,723評(píng)論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)迎膜。三九已至泥技,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間磕仅,已是汗流浹背珊豹。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 32,858評(píng)論 1 269
  • 我被黑心中介騙來(lái)泰國(guó)打工, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留榕订,地道東北人店茶。 一個(gè)月前我還...
    沈念sama閱讀 47,891評(píng)論 2 370
  • 正文 我出身青樓,卻偏偏與公主長(zhǎng)得像劫恒,于是被迫代替她去往敵國(guó)和親贩幻。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,713評(píng)論 2 354