CSRF和XSS

2024-01-04 10:16:28

CSRF:跨站请求伪造 (cross-site request forgery)

cookie伪造

用户在注册网站登录过 引诱点击(链接自动携带cookie)

防御:

加token验证

referer验证 页面来源 是否来自该站点下的页面

隐藏令牌 (类似于token  放在http请求头中)

 

XSS:跨域脚本攻击(cross-site scripting)

脚本攻击

不需要任何登录

 

区别:xss向页面注入js脚本 csrf利用本身的漏洞,需要登录过

 

XSS攻击原理及防范措施:http://www.imooc.com/learn/812

 

上一篇:XSS和CSRF双重攻击!让你欲罢不能


下一篇:Day237.初识 Spring Security -SpringSecurity&OAuth2