安全基础总结

  1. 云栖社区>
  2. 博客>
  3. 正文

安全基础总结

一朝一夕 2018-10-25 20:02:00 浏览481
展开阅读全文

安全基础总结

@Date 2016.06.02

XSS(跨站脚本攻击)

  1. 反射型 :
    • 非持久化
    • 交互性
    • 欺骗用户自己去点击链接才能触发XSS代码
  2. 存储型 :
    • 持久化
    • 代码是存储在服务器中(文本框,留言里输入Script脚本)
    • 盗窃用户Cookie
  3. DOM型 :
    • 改变页面HTML结构
  4. 防御
    • 过滤特殊字符
    • 进行Html实体编码(转义)
    • 字符串不能原样输出到前端
  5. 注意
    • http-only不是万能的
    • content-type不是万能的(ie6)
    • request中的字段都是有害的

CSRF(跨站请求伪造)

  1. 诱导用户浏览器发送攻击者的指令
  2. 流程
    • 用户请求正常网站A -> 产生网上A的cookie -> 用户请求恶意网站B -> 网站B要求用户请求A并进行操作 -> 后台带着cookie进行网站A的操作
  3. 防御
    • 验证码
    • Token
    • 随机数
    • 验证referer和csrf参数

网友评论

登录后评论
0/500
评论
一朝一夕
+ 关注