【网络攻防】xss 脚本注入、csrf 跨域请求伪造

2023-03-25 12:37:06 浏览数 (2)

1. xss 脚本注入

不需要你做任何的登录认证,他会通过合法的操作(比如: url 中输入,在评论框输入),向你的页面注入脚本(可能是 js、html 代码块等)。

xss 防御

编码: 对用户输入的数据进行 HTML Entity 编码(字符转义编码)。把字符转换成转义符,编码的作用是将一些字符进行转义,使得浏览器在最终输出的结果上是一样的。

HTML 实体是一段以连字号(&)开头、以分号(;)结尾的文本(字符串)。实体常常用于显示保留字符(这些字符会被解析为 HTML 代码)和不可见的字符(如“不换行空格”

  • 不可分的空格: 
  • <(小于符号):&lt;
  • >(大于符号):&gt;
  • &(与符号):&amp;
  • ″(双引号):&quot;
  • ‘(单引号):’&apos;
  • ©(版权符号)&copy;

过滤: 移除用户输入事件和相关的属性。

2. csrf 跨域伪造

在未退出 A 网站的前提下访问 B,B 网站使用 A 网站的 cookie 去访问服务器,就是跨域伪造。

防御: token。每次用户提交表单的时候都带上token(伪造者访问不到),如果token不合法,则服务器拒绝访问。

0 人点赞