目录
XSS——跨站脚本
当目标站点在渲染html的过程中,遇到陌生的脚本指令执行。
攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。
常见
解决
对于用户提交的参数 或者输入的内容没有很好的过滤
黑名单过滤 白名单过滤(用户名密码)
输出转义:
cookie 设置为http-only
这样js脚本就不能读取到cookie
CSRF ——跨站请求伪造
本质是利用了 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。
常见
解决
reffer token 短信验证
黑客和本地不同源
拦截器检查reffer 但是可以伪造
本文转载自: https://blog.csdn.net/m0_52711377/article/details/129453156
版权归原作者 AC_uv 所有, 如有侵权,请联系我们删除。
版权归原作者 AC_uv 所有, 如有侵权,请联系我们删除。