大家對於這2個攻擊可能比較混淆,因為從名字上就很容易混淆,csrf跨站點偽裝請求和xss跨站點攻擊。
我一開始也對這兩個東西搞混淆了,后面發現他們的最根本區別。
CSRF攻擊的主要目的是讓用戶在不知情的情況下攻擊自己已登錄的一個系統,類似於釣魚。如用戶當前已經登錄了郵箱,或bbs,同時用戶又在使用另外一個,已經被你控制的站點,我們姑且叫它釣魚網站。這個網站上面可能因為某個圖片吸引你,你去點擊一下,此時可能就會觸發一個js的點擊事件,構造一個bbs發帖的請求,去往你的bbs發帖,由於當前你的瀏覽器狀態已經是登陸狀態,所以session登陸cookie信息都會跟正常的請求一樣,純天然的利用當前的登陸狀態,讓用戶在不知情的情況下,幫你發帖或干其他事情。
預防措施,請求中加入隨機數,讓釣魚網站無法正常偽造請求。
XSS攻擊的主要目的則是,想辦法獲取目標攻擊網站的cookie,因為有了cookie相當於有了seesion,有了這些信息就可以在任意能接進互聯網的pc登陸該網站,並以其他人的生份登陸,做一些破壞。
預防措施,防止下發界面顯示html標簽,把</>等符號轉義