CSRF与XSS
2019-07-02 本文已影响0人
ZMRWEGo
浏览器出于安全性,制定了同源策略,禁止进行跨域请求。那么什么是跨域访问呢,例如我们在一个web页面中,使用ajax去请求一个与当前页面不同域名的网址,则览浏器会阻止访问(这一点还是取决于服务器的设置),或者在iframe中去访问不同域名的网址,则会引起跨域问题。当然,允不允许跨域,最终还是由服务器决定的
CSRF 跨域请求伪造
CSRF攻击,全称cross-site request forgery,即跨站点请求伪造。下图完美展示了跨站点请求伪造的危险。- 用户登录了自己的银行页面
http://mybank.com
,http://mybank.com
向用户的 cookie 中添加用户标识。 - 用户浏览了恶意页面
http://evil.com
,执行了页面中的恶意 AJAX 请求代码。 -
http://evil.com
向http://mybank.com
发起 AJAX HTTP 请求,请求会默认把http://mybank.com
对应 cookie 也同时发送过去。 - 银行页面从发送的 cookie 中提取用户标识,验证用户无误,response 中返回请求数据。此时数据就泄露了。
而且由于 Ajax 在后台执行,用户无法感知这一过程。
- 跨域资源共享-CORS
CORS(Cross-origin resource sharing,跨域资源共享)是一个 W3C 标准,定义了在必须访问跨域资源时,浏览器与服务器应该如何沟通。CORS 背后的基本思想,就是使用自定义的 HTTP 头部让浏览器与服务器进行沟通,从而决定请求或响应是应该成功,还是应该失败。
CORS 需要浏览器和服务器同时支持。目前,所有浏览器都支持该功能,IE 浏览器不能低于 IE10。
整个 CORS 通信过程,都是浏览器自动完成,不需要用户参与。对于开发者来说,CORS 通信与同源的 AJAX 通信没有差别,代码完全一样。浏览器一旦发现 AJAX 请求跨域,就会自动添加一些附加的头信息,有时还会多出一次附加的请求,但用户不会有感觉。
因此,实现 CORS 通信的关键是服务器。只要服务器实现了 CORS 接口,就可以跨源通信。
XSS
XSS:跨站脚本(Cross-site scripting,通常简称为XSS)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
与CSRF相比,XSS相当于是实现CSRF的一种方式