安全

  • XSS 跨站请求攻击
  • XSRF 跨站请求伪造

XSS 跨站请求攻击

比如:一个博客网站,我发表一篇博客,其中嵌入 <script />脚本,获取 cookie,发送到我的跨域服务器,当有人查看这篇文章,我可以获取访问者的 cookie

<p>模拟 XSS 跨站,获取 cookie</p>
<script> alert(document.cookie) </script>

XSS 预防(也可以使用 XSS 工具,如 https://www.npmjs.com/package/xss

  • 替换特殊字符,如 < 变成 < > 变成 >
  • <script> 变成 &lt;script&gt; ,这样不会作为脚本执行
  • 建议前后端都替换
&lt;script&gt; alert(document.cookie) &lt;/script&gt;

CSRF/XSRF 跨站请求伪造

比如:你正在购物,看中了某个商品,商品 id 是 100,付款接口:xxx.com/pay?id=100,但没任何验证,攻击者想购买 id 为 200 的商品,通过发送邮件隐藏 <img src="xxx.com/pay?id=200" />,一旦查看邮件,就购买了 id 为 200 的商品

XSRF 预防(现在很少见了)

  • 使用 post 接口
  • 增加验证,例如密码,短信验证码,指纹等

标签: none

添加新评论