前端安全学习
目前有知道的web前端安全是xss cross site script 跨站点脚本攻击 CSRF Cross Site Request Forgery 跨站点请求伪造
xss 是 用户打开你给的链接 然后你可以读取用户的cookie 等信息到你自己的服务器,(利用网页会将url后面的参数直接写到页面上的漏洞)
或者在留言板上输入,包含攻击的脚本,将所有看过该留言的用户的cookie 发送到你的服务器上。(利用直接将写留言板上的内容写入到页面的漏洞)
还有危害较大的是将攻击脚本写入到服务器上,受害的用户较多。
解决这些的方法是:对用户输入的东西进行过滤,对url后面的参数进行过滤.
CSRF 用户打开你给的链接,自动完成攻击。
一般是利用 session 和 form 的action 可以跨域提交数据。
被攻击者打开你给的网页且他打开并登陆了要被攻击网页,由于session 还在可以直接向服务器提交数据,完成攻击。
防御的方法 是服务器生成 一个token 给网页,每次提交表单时,都作为一个隐藏域一起提交给服务器进行验证。
这是目前我所知道的。 想知道详细的攻击方法可以查看 http://www.freebuf.com/author/black-hole