CSRF和XSS
时间:2021-04-07 11:37:38
收藏:0
阅读:0
CSRF:跨站请求伪造 (cross-site request forgery)
cookie伪造
用户在注册网站登录过 引诱点击(链接自动携带cookie)
防御:
加token验证
referer验证 页面来源 是否来自该站点下的页面
隐藏令牌 (类似于token 放在http请求头中)
XSS:跨域脚本攻击(cross-site scripting)
脚本攻击
不需要任何登录
区别:xss向页面注入js脚本 csrf利用本身的漏洞,需要登录过
XSS攻击原理及防范措施:http://www.imooc.com/learn/812
评论(0)