Web安全是指保护Web应用程序和网络服务免受未经授权的访问、使用、泄露、破坏、干扰或修改的一系列措施。其中关于XSS与 CSRF的攻击是较为常见的模式,下面我们就来分别探讨一下二者的应对预防方案。
XSS攻击是使用JavaScript脚本注入进行攻击,因为浏览器默认支持脚本语言执行。攻击者可以通过在表单提交时,提交一些脚本参数,使浏览器直接执行攻击代码,从而盗取用户的敏感信息。
XSS攻击预防措施:
对用户输入进行严格的检测和限制,只接受一定长度范围内、采用适当格式及编码的字符,阻塞、过滤或者忽略其它的任何字符。在输出用户数据之前,对数据进行清理和转义处理。使用HTTP-only Cookie,防止攻击者通过JavaScript获取Cookie信息。
CSRF攻击是攻击者采用伪造的http请求,CSRF攻击也AG网址AG95.CC遇到的常见类型是包括会话cookie/refer/token/自动填充的身份信息等,发送给webserver,让webserver认为是合法用户数据。这种漏洞通常发生在身份验证不足的情况下。
CSRF攻击预防措施:
对所有来自非信任源的跨站请求进行验证。使用随机生成的token,并在客户端和服务器端进行保存和验证。对用户的敏感操作设置验证码或者二次确认3。
CopyRight@2015-2023 IT手机世界 All Right Reserved
工信备案号:京备A2-2009413
IT手机世界畅享移动互联时代智能智慧新生活