前端安全学习

目前有知道的web前端安全是xss cross site script 跨站点脚本攻击 CSRF Cross Site Request Forgery  跨站点请求伪造

 

xss 是 用户打开你给的链接  然后你可以读取用户的cookie 等信息到你自己的服务器,(利用网页会将url后面的参数直接写到页面上的漏洞)

或者在留言板上输入,包含攻击的脚本,将所有看过该留言的用户的cookie 发送到你的服务器上。(利用直接将写留言板上的内容写入到页面的漏洞)

还有危害较大的是将攻击脚本写入到服务器上,受害的用户较多。

解决这些的方法是:对用户输入的东西进行过滤,对url后面的参数进行过滤.

 

CSRF  用户打开你给的链接,自动完成攻击。

一般是利用 session 和 form 的action 可以跨域提交数据。

被攻击者打开你给的网页且他打开并登陆了要被攻击网页,由于session 还在可以直接向服务器提交数据,完成攻击。

 

防御的方法 是服务器生成 一个token 给网页,每次提交表单时,都作为一个隐藏域一起提交给服务器进行验证。

 

这是目前我所知道的。 想知道详细的攻击方法可以查看 http://www.freebuf.com/author/black-hole

 

 

 

 

 

                  

posted @ 2016-05-14 16:47  菜鸟木易  阅读(148)  评论(0编辑  收藏  举报