crsf 和 XSS
CRFS攻击全称是一种利用cookie的漏洞进行的一种跨域请求伪造;
攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。 如下:其中Web A为存在CSRF漏洞的网站,Web B为攻击者构建的恶意网站,User C为Web A网站的合法用户。
XSS攻击全称跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS,XSS是一种在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<meta http-equiv="X-UA-Compatible" content="ie=edge">
<title>Document</title>
</head>
<body>
<!-- <img src="javascript:alert('XSS')"> -->
</body>
<script>
var str="<script>alert('dsd') "+"</"+"script>";
document.writeln(str);
</script>
</html>
如上在javascript中忘dom元素中塞入一个含有js的字符串就可以执行,可想而知如果这段字符如果通过网络又a的电脑发送到b的电脑中去,不难想到如果不对这段代码进行分解破坏,那么这段代码很有可能通过网络将b的个人信息发给a或者让;