当前位置:首页 > Safe 2017年06月15日
XSS和CSRF

XSS原理:


根本我个人理解XSS又叫CSS(Cross-SiteScripting跨站脚本攻击)为了不和css层叠样式表混淆,所以改成了XSS。XSS是将恶意的代码插入到html页面中,当用户浏览页面时,插入的html代码会被执行,从而达到最终目的。



XSS分为三种:


反射型:这种反射型一般存在链接中,请求链接时,代码经过服务器端就会反射回来。

存储型:一般在留言板、搜索框里会遇到,直接插入到留言板中当用户每次访问时都会反射这种称为存储型。

DOM型:是一种发生在客户端文档对象模型中的跨站漏洞。

XSS和csrf的区别:XSS发生在客户端,CSRF发生在服务端。

以上三种漏洞会造成:身份盗用,钓鱼欺骗、垃圾信息发送等;

XSS:修复方式和SQL注入修复方式相同,建议查看历史文章。


CSRF:根据我的理解,CSRF是跨站请求伪造(Cross-siterequestforgery)大家可能认为和XSS漏洞相似容易混淆,其实和XSS区别还是很大的,与XSS攻击相比,CSRF攻击不流行(所以防范的资源也稀少)和难以防范,所以被称为比XSS更具危险性。同样这也是XSS和CSRF区别之一。



以下是我总结的常见区别:


(1)CSRF比XSS漏洞危害更高。

(2)CSRF可以做到的事情,XSS都可以做到。

(3)XSS针对客户端,而CSRF针对服务端。

(4)XSS是利用合法用户获取其信息,而CSRF是伪造成合法用户发起请求。



发表评论: