常见的web前端攻击方式

一、什么是web攻击，常用的攻击方式有哪些？

　　web攻击：针对用户上网行为或网站服务器等设备进行攻击的行为，如植入恶意代码，修改网站权限或者获取用户隐私信息等等

　　我们常见的攻击方式有：

• • • XSS 跨站请求攻击
    • XSRF 跨站请求伪造　　

二、XSS 攻击

　　攻击实现步骤：

　　　　1、我发表一篇博客，其中嵌入<script>脚本

　　　　2、脚本内容：获取cookie、用户敏感信息等，发送到我自己的服务器

　　　　3、发布博客后，有人查看，就可以轻松收割访问者的cookie等信息

　　代码模拟：

<!DOCTYPE html>
<html>
    <head>
        <meta charset="utf-8">
        <title>xss演示</title>
    </head>
    <body>
       
        <p id="p1">一段文字1</p>
        <p>一段文字2</p>
        <p>一段文字3</p>
    
        <!--这里可以把敏感信息发送到自己的服务器-->
        <script>alert(document.cookie);</script>
    </body>
</html>

　 预防XSS攻击方式：

　　　　将< 变为 &lt; >变为&gt; 。即将<script> 变为 &lt;script&gt; 。前后端最好都要做替换。代码如下： 

<script>alert(document.cookie); </script>

　　此时就不会当脚本执行，而是直接在界面上显示

三、XSRF 攻击

　　攻击实现步骤：（简单举个例子，现在电商也不会这么做）

　　　　1.加入你浏览过一个电商网站，假设这个网站的商品付费接口 XXX.com/pay?id=100。假设这个平台没有任何验证

　　　　2.我是攻击者，我看中一个id是200的商品，那我我就给你发一个吸引人的标题邮件

　　　　3.邮件里就隐藏着<img src="xxx.com/pay?id=200" />

　　　　4. 当你点看就会帮我买了这个商品

　　预防XSRF攻击方式：

　　　　1. 使用post 接口

　　　　2. 增加验证（比如token、验证码等等）