3-14 安全类

1. CSRF

   • 基本概念和缩写

     • CSRF: 跨站请求伪造,英文名 Cross-site request forgery 的缩写

   • 攻击原理

3-14 安全类.mp4_20171124_165234.001_看图王.jpg

 能被攻击有两点:1 网站中某个接口存在漏洞 2 这个用户在那个网站中登录过

• 防御措施

  • Token 验证

    你在访问这个接口的时候浏览器自动上传了cookie,但是没有手动的上传一个token,这个token是你注册成功以后或者你访问这个网站后,服务器会向你本地村存储一个token,在你访问各种接口的时候,如果没有带这个token的话,就不能让你通过验证;如上面例子中如果点击了引诱链接,这个链接就只会自动带cookie,不会自动带token

  • Referer 验证

    页面来源,如果服务器判断我这个页面是不是从我这个站点下的页面,如果是我就执行这个动作,如果不是就会拦截

  • 隐藏令牌

    隐藏在HTTP头中,不会放在链接上

2. XSS

   • 基本概念和缩写

     • XSS : Cross-site scripting 跨域脚本攻击

   • 攻击原理

     向你页面注入js脚本,比如评论区

   • 防御措施

     让插入的脚本不可执行