csrf和XSS攻击分别是什么?
csrf和XSS攻击分别是什么?
CSRF的基本概念、缩写、全称:CSRF(Cross-site request forgery):跨站请求伪造。
CSRF的攻击原理:要完成一次CSRF攻击,受害者必须满足两个必要的条件:登录受信任网站A,并在本地生成Cookie
在不登出A的情况下,访问危险网站B
CSRF如何防御:cookie设置httpOnly + token验证 + 隐藏令牌 + Referer验证
XSS的基本概念:XSS(Cross Site Scripting):跨域脚本攻击。
XSS攻击原理:不需要你做任何的登录认证,它会通过合法的操作(比如在url中输入、在评论框中输入),向你的页面注入脚本(可能是js、hmtl代码块等)。
CSRF 和 XSS 的区别
1、CSRF是跨站请求伪造; XSS是跨域脚本攻击。
2、CSRF需要用户先登录网站A,获取cookie; XSS不需要登录。
3、CSRF是利用网站A本身的漏洞,去请求网站A的api; XSS是向网站A注入JS代码,然后执行JS里的代码,篡改网站A的内容。(XSS利用的是站点内的信任用户,而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。)
csrf和XSS攻击分别是什么?相关推荐
- csrf和xss攻击
XSS:跨站脚本(Cross-site scripting) CSRF:跨站请求伪造(Cross-site request forgery) 在那个年代,大家一般用拼接字符串的方式来构造动态SQL 语 ...
- 基于CSRF的XSS攻击
有些XSS不好利用啊,比如有些后台的XSS漏洞,你进不了别人的后台,怎么能 利用他的XSS漏洞呢?进得了别人的后台,还利用这个XSS漏洞干什么?其实这个时候可以种个后门(如果那是个持久型的XSS,这是 ...
- Web安全(四)---XSS攻击
文章目录 XSS攻击 #1 什么是XSS攻击 #2 反射型XSS #3 存储型XSS #4 DOM Based XSS #5 防御 XSS 的几种策略 #5 XSS与CSRF区别 XSS攻击 #1 什 ...
- 手绘10张图,把CSRF跨域攻击、JWT跨域认证说得明明白白的
作者 | 写代码的明哥 来源 | Python编程时光 这篇文章本应该是属于 HTTP 里的一部分内容,但是我看内容也挺多的,就单独划分一篇文章来讲下. 什么是跨域请求 要明白什么叫跨域请求,首先得知 ...
- 浅析:XSS攻击、SQL注入攻击和CSRF攻击
1.XSS(Cross Site Script)攻击 跨站脚本攻击,是在用户浏览网页时向用户浏览器中执行恶意脚本的攻击方式. 跨站脚本攻击分有两种形式:反射型攻击(诱使用户点击一个嵌入恶意脚本的链接以 ...
- XSS攻击和CSRF攻击及其区别
XSS攻击 XSS(Cross Site Script,跨站脚本攻击)是向网页中注入恶意脚本在用户浏览网页时在用户浏览器中执行恶意脚本的攻击方式. 跨站脚本攻击分有两种形式: 反射型攻击(诱使用户点击 ...
- 第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击...
第三百九十二节,Django+Xadmin打造上线标准的在线教育平台-sql注入攻击,xss攻击,csrf攻击 sql注入攻击 也就是黑客通过表单提交的地方,在表单里输入了sql语句,就是通过SQL语 ...
- 服务器安全:浏览器同源策略与跨域请求、XSS攻击原理及防御策略、如何防御CSRF攻击
主要包括 浏览器同源策略与跨域请求 XSS攻击原理及防御策略 如何使用SpringSecurity防御CSRF攻击 CC/DDOS攻击与流量攻击 什么是SSL TLS HTTPS? 一.浏览器的同源策 ...
- xss攻击和csrf攻击
xss攻击:跨站脚本攻击 三种攻击方式:注入式攻击.反射型攻击.基于DOM的xss攻击 解决方式:过滤及转码:csp内容安全策略,通过头部或meta指定哪些脚本可以执行:httponly,只允许htt ...
最新文章
- Trends Genet | 王关红和Jackson Champer综述共生菌和基因驱动技术防控蚊媒疾病
- 前沿科技 | 中科院科学家在关于运动规划的环路机制研究方面获进展
- NetDevOps — netmiko
- Android的事件分发
- 如何汉化美化Citrix的WEB界面
- VS的几个实用快捷键
- CRISP-DM:数据挖掘标准流程
- linux 离线安装中文,linux离线安装及配置redis-Go语言中文社区
- 转:android.support升级到androidx踩坑记录
- android 重复申请权限,去除AndroidManifest.xml里重复申请的权限(uses-permission)
- python访问oracle时的问题总结
- (笔记)涉及到的WinAPI函数
- 三菱plc控制步进电机实例_三菱FX3U的plc通过手摇轮,如何手动控制步进电机
- 思科路由器 密码设置和恢复
- iOS CMMotionManager之加速计、陀螺仪
- ‘今年找工作太难了,真的是卷到我想哭!’,一个疫情就业季下的毕业生艰辛IT求职道路上的经验分享!见识入社会的不容易!
- 模块学习4:(1)通过MQTT协议和电信云平台的通信(内附MQTT协议V3.1.1的原版和中文参考资料)
- 成都本地的伪装成科技公司的培训机构对照表(全)
- 抠图换背景的软件哪个好?快把这些软件收好
- Sql serverx写外键关系(references)
热门文章
- Linux(三)常用命令
- 什么是单页面应用(SPA)和多页面应用(MPA)
- Refractive index contrast of optical waveguide(光波导的折射率对比度)
- 对自适应拉普拉斯机制的理解
- flutter pub get failed (66; , errno = 5))
- Miracast技术详解(三):RTP MPEG2-TS
- 锐龙R3-3200G 配什么主板
- 服务器系统945主板,IT教程:945主板最高装什么cpu
- 更改docker数据目录
- C语言作业d1138,Git学习教程(六)Git日志