安全类题目

原创 小Q 随笔 面试 79阅读 2018-09-11 11:32:18 举报

CSRF

基本概念和缩写

csrf:通常称为跨站请求伪造,英文名
Cross-site request forgery 缩写csrf
攻击原理
用户登录网站A,然后网站会下发cookie到用户的浏览器上,当用户访问网站B的时候,网站B存在引诱用户点击他的链接,而这个链接是指向网站A的api接口,尤其是get类型,更不安全,然后当用户访问A的时候,浏览器所以会自动上传cookie,而网站A觉得cookie过来了,对身份进行了重写确认,发现是合法用户,就执行了接口的动作,所以就造成攻击了。
两大因素
1、网站中某一个接口存在漏洞
2、这个用户肯定注册登录过才会发生这种攻击,因为没有注册过,网站会提示注册登录
防御措施
加Token验证
Referer验证(页面来源)
隐藏令牌

XSS

基本概念和缩写

xss(cross-site scripting跨域脚步攻击)

攻击原理
http://www.imooc.com/learn/812
不需要注册登录,核心原理就是往页面注入脚本,利用合法渠道向页面注入js去运行,去js函数体里做它想做的事情
防御措施
http://www.imooc.com/learn/812
核心宗旨就是让插入的js不可执行,手段去慕课网公开课去看

评论 ( 0 )
最新评论
暂无评论

赶紧努力消灭 0 回复