摘要:攻擊及防御中文名稱跨站請求偽造,攻擊者盜用客戶的身份,以客戶名義發(fā)送惡意請求。攻擊及防御全稱跨站腳本攻擊,就是通過向網(wǎng)站寫入腳本來實現(xiàn)攻擊。后端接收請求時,驗證請求是否含有攻擊請求,并對攻擊請求進(jìn)行截取屏蔽。
CSRF攻擊及防御:
CSRF 中文名稱:跨站請求偽造,攻擊者盜用客戶的身份,以客戶名義發(fā)送惡意請求。
產(chǎn)生原因:如圖
當(dāng)用戶訪問一個安全的網(wǎng)站A,A返回給客戶端一個正確的cookie,但是用戶在沒
有登出A的網(wǎng)站情況下登錄B危險網(wǎng)站,B要求訪問第三方站點,這時候會通過用戶
向安全的網(wǎng)站那A發(fā)出一個不合理的危害請求,這時候由于請求帶著cookie A不
知道這是危險網(wǎng)站發(fā)出的,以為是用戶正常發(fā)出的,導(dǎo)致危害。
防御方法:
①:利用攻擊者不能獲得第三方的Cookie(理論上),在頁面增加加密的cookie值,以及Hash值,當(dāng)發(fā)送請求的時候服務(wù)器對加密的cookie進(jìn)行驗證,并驗證hash以便確認(rèn)是真正客戶。
②: 每次的用戶提交都需要用戶在表單中填寫一個驗證碼,這樣可以有效的防止其他網(wǎng)站惡意攻擊。
XSS攻擊及防御:
XSS全稱跨站腳本攻擊,就是通過向網(wǎng)站寫入js腳本來實現(xiàn)攻擊。攻擊者在Web頁面里插入惡意html代碼,當(dāng)用戶瀏覽該網(wǎng)頁時,嵌入其中代碼會被執(zhí)行,從而達(dá)到攻擊用戶的目的。
XSS分兩種類型:
① 非持久性攻擊:
在URL的后面拼接 那么用戶打開此鏈接,就會直接執(zhí)行js,這種攻擊都是一次性的,誘使別人點擊,從而通過執(zhí)行腳本,獲取對方的cookie。你得到對方的cookie后,就可以為所欲為了。
② 持久性攻擊:
這種攻擊就不是在url上下手了,而是直接把注入代碼寫到網(wǎng)站數(shù)據(jù)庫中。有些網(wǎng)站呢,是內(nèi)容生成網(wǎng)站,比如很多的博客站,此時,如果不對用戶輸出的內(nèi)容加以過濾,就可以注入一些js腳本內(nèi)容。這樣,別人看到這篇博客時,已經(jīng)在執(zhí)行他寫的js腳本了。(新浪種過大招。。)
解決方案:
①:前端后端在顯示數(shù)據(jù)和存儲數(shù)據(jù)的時候,對標(biāo)簽進(jìn)行轉(zhuǎn)義過濾,比如將