版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/victor_ll/article/details/79477655
CSRF
参考资料:http://blog.csdn.net/stpeace/article/details/53512283
XSS
1. CSRF
- 基本概念和缩写
CSRF,通常称为跨站请求伪造,英文名Cross-site request forgery。 - 攻击原理
实现CSRF不可或缺的两大因素。
(1)网站中某个接口存在漏洞。
(2)用户在这个注册网站登录过。 - 防御措施
(1)Token验证
(2)Referer验证
(3)隐藏令牌
2. XSS
- 基本概念和缩写
XSS(cross-site scripting跨域脚本攻击) - 攻击原理
利用合法的渠道向页面注入JS - 防御措施
宗旨:让插入的JS不可执行
3. XSS与CSRF的区别
XSS不需要你任何的登录认证,核心原理是向页面注入JS。
CSRF是利用你本身的漏洞去帮你自动执行那些恶意的接口。