常见网络攻击 XSS 和 CSRF
-
作为一个前端小白,最开始写前端可能主要关注页面好不好看,功能完不完善,对于性能和安全的考虑可能没那么多。这一篇主要介绍两个常见的网络攻击XSS 和 CSRF。说常见,就是在平常的需求中很容易遇到,所以还是必须得了解下。
1. XSS攻击
全称 Cross-Site Scripting(跨站脚本攻击)。主要原因是前端将用户输入当作html的一部分加入到了html中,浏览器对这部分代码进行解析,如果用这段内容包含了可执行脚本,那么就会执行。
如果我们的网站涉及到用户自定义输入内容的展示或使用,都要考虑是否可能发生这种情况。
XSS攻击2. CSRF攻击
CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。
值得关注的是,在新版本的Chrome浏览器上,会默认组织cookie的跨站请求发送,从而避免CSRF攻击的发生。
