XSS和CSRF攻击思考

编程

一、XSS攻击

1. 概述

在页面表单中内嵌js代码,执行js脚本获取用户信息或发送非法请求。

2. 解决

目前在vue、React等前端框中已经做了处理,只要按照安全的方式操作,基本上不会出现Xss,但是有一种情况是不能忽略,在于服务端是一个开放平台,对于调用者可能是客户端可能是Vue、React之外,还可能是其他的架构。从安全性的角度来看,不能保证前端框架绝对不出现不安全的使用方式,也不能保证客户端类型,服务端都需要处理XSS问题。

二、CSRF攻击

1. 概述

攻击前提的是服务端使用从cookie获取jsessionid,根绝jsessionid兑换session,或者用户信息是保存在Cookie中其他地方,同源页面或者设置了跨域访问页面,攻击者在自己钓鱼页面内嵌恶意链接,携带被攻击网站的Cookie访问到服务端,造成安全问题。目前基于Bearer Token或者Basic Token是放在Header中不再依靠cookie存储用户信息,但页面被XSS工内嵌了Js脚本或者请求被抓包,知道Token存储位置和请求Token放在那里header之中,并且获取了sessionStorage、LocalStorage、Cookie中的数据,那就存在一定安全风险。

2. 解决

最安全的方式是防止XSS攻击和使用Https

以上是 XSS和CSRF攻击思考 的全部内容, 来源链接: utcz.com/z/512616.html

回到顶部