XSS跨站脚本攻击
什么XSS攻击?
在Web领域,有几个比较常见的安全隐患,其中一个比较流行的是跨站脚本攻击。通过加载一些恶意的脚本,actvie-x就是XSS的手段,通过这些手段,可以窃取cookie,更改用户设置,下载恶意软件,更改内容等等
示例:
说明:当你提交含有脚本内容,服务器会拒绝请求
如图只要在服务器方法中添加 [ValidateInput(false)]就可以跳过验证
CSRF跨站请求伪造
CSRF是跨站伪造请求,主要是针对目前验证只在登录时验证用户名密码,验证通过以后,服务器发送给用户一个令牌,浏览器将令牌保存在cookie中,每次请求在Http头中放入令牌信息,服务器就不去重新验证用户
如果获取了浏览器保存的身份信息,在我访问其他恶意站点时候,这些站点就可以自己封装表单信息进行提交,这样服务器就回接受修改请求。
这是一个模拟CSRF的攻击页面,一加载这个恶意页面,模拟一次请求,服务器的SaveUser方法就能接受到“我是CSRF”
如何来防止这种问题,我们可以分析CSRF攻击时缺少一个环节的就是请求页面,因此我们只需要在每次请求页面时赋予页面一个防伪令牌
后台代码加一个验证防伪的标签
这样就可以验证非请求页面的请求
参考资料: