这套题还不错,感兴趣的猿可以试一试:前端开发工程师

XSS 攻击和 CSRF 攻击

1、XSS 攻击

1. 概念

XSS(Cross Site Scripting):跨域脚本攻击。

2. 原理

不需要你做任何的登录认证,它会通过合法的操作(比如在 url 中输入、在评论框中输入),向你的页面注入脚本(可能是 jshmtl 代码块等)。

3. 防范

  1. 编码;对于用户输入进行编码。
  2. 过滤;移除用户输入和事件相关的属性。(过滤 scriptstyleiframe 等节点)
  3. 校正;使用 DOM Parse 转换,校正不配对的 DOM 标签。
  4. HttpOnly

4. 分类

  • 反射型(非持久):点击链接,执行脚本
  • 存储型(持久):恶意输入保存数据库,其他用户访问,执行脚本
  • 基于 DOM:恶意修改 DOM 结构,基于客户端

2、CSRF 攻击

1. 概念

SRF(Cross-site request forgery):跨站请求伪造。

2. 原理

  1. 登录受信任网站 A,并在本地生成 Cookie。(如果用户没有登录网站 A,那么网站 B 在诱导的时候,请求网站 Aapi 接口时,会提示你登录)。
  2. 在不登出 A 的情况下,访问危险网站 B(其实是利用了网站 A 的漏洞)。

3. 防范

  1. token 验证;
  2. 隐藏令牌;把 token 隐藏在 http 请求的 head 中。
  3. referer 验证;验证页面来源。

3、两者区别

  1. CSRF:需要用户先登录网站 A,获取 cookieXSS:不需要登录。
  2. CSRF:是利用网站 A 本身的漏洞,去请求网站 AapiXSS:是向网站 A 注入 JS 代码,然后执行 JS 里的代码,篡改网站 A 的内容。