XSS攻击和CSRF攻击

发表于 | 分类于 | | 阅读次数:

整理了XSS攻击和CSRF攻击的攻击原理以及如何预防这类攻击

XSS 攻击及预防

XSS(Cross SiteScript跨站脚本攻击)攻击原理为:攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。会造成会话劫持,信息泄露等风险

XSS 攻击方式:

  1. 通过修改浏览器URL导致脚本被注入到页面(会被 chrome 浏览器自动防御攻击)
  2. 通过输入框将脚本代码注入数据库(可通过 xss 库的白名单过滤防御)

XSS 攻击预防方法:

  1. 使用innerText替代innerHTML
  2. 使用 innerHTML 时进行字符过滤,如:< => &lt> => &gt& => &amp‘ => &#39‘ => &quot
  3. 使用 CSP (Content Security Policy内容安全性政策)
  4. Cookie 设置 HTTP Only(cookie只能通过服务器端修改,通过js脚本将无法读取到cookie信息,防止用户身份验证信息被盗取)

CSRF 攻击及预防

CSRF(Cross-site request forgery跨站请求伪造)源于Web的隐式身份验证机制,其攻击原理为:

  1. 用户打开浏览器,访问受信任网站 A ,输入用户名和密码请求登录网站 A
  2. 用户信息通过验证后,网站 A 产生 Cookie 信息并返给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站 A
  3. 用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B
  4. 网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A
  5. 浏览器在接收到这些攻击性代码后,根据网站B的请求,在用户不知情的情况下携带 Cookie 信息,向网站 A 发出请求
  6. 网站 A 并不知道该请求其实是由 B 发起的,所以会根据用户的 Cookie 信息以的权限处理该请求,导致来自网站 B 的恶意代码被执行

CSRF 攻击预防方法:

  1. Get 请求不用于对数据进行修改
  2. 重要数据交互采用 POST(并不安全,伪造一个form 表单即可破解)
  3. 验证 HTTP Referer(来源地址) 字段(并不安全,Referer可以被更改)
  4. 在 HTTP 头中自定义属性并验证
  5. 请求时带上验证信息,如验证码、Token
  6. 接口设置禁止跨域