# 安全
# XSS 攻击
攻击方式:在页面展示内容中掺杂js代码,以获取网页信息
预防措施:转换生成js的特殊字符
转换特殊字符
& -> &
< -> <
> -> >
" -> "
' -> '
/ -> /
比如,我们创建博客的时候,输入内容:
<script>
alert(document.cookie)
</script>
打开博客的时候,页面会弹出用户的 cookie 信息。
# XSRF 攻击
CSRF(Cross-site request forgery),中文名称:跨站请求伪造。攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全。例如通过 QQ 等聊天软件发送的链接(有些还伪装成短域名,用户无法分辨),攻击者就能迫使 Web 应用的用户去执行攻击者预设的操作。例如,当用户登录网络银行去查看其存款余额,在他没有退出时,就点击了一个 QQ 好友发来的链接,那么该用户银行帐户中的资金就有可能被转移到攻击者指定的帐户中。
从上图可以看出,要完成一次 CSRF 攻击,受害者必须依次完成两个步骤:
- 登录受信任网银网站,并在本地生成Cookie。
- 在不登出网银网站的情况下,访问危险网站钓鱼网站。 这时候受害者就中招了。
预防
- 使用 post 接口
- 增加验证,例如密码、短信验证码、指纹等
阅读量: