首先我們要對xss和crsf進行足夠的了解才能分清楚兩者的區別。
XSS漏洞
xss:中文名稱跨站腳本攻擊,通常出現在搜索框、留言板、評論區等地方
分類:反射性、存儲型、DOM型
攻擊方式:構造惡意鏈接,誘騙用戶點擊盜取用戶的cookie信息
反射性xss:
通常這一類xss危害較低,對網站沒有什么嚴重的影響,具體表現在用戶在搜索框輸入xss語句返回彈框,僅出現一次
存儲型xss:
存儲型對網站危害較大,用戶插入xss語句后,惡意語句會存入網站數據庫中,用戶訪問過程都會出現彈框
DOM型xss:
DOM——文檔對象類型
利用瀏覽器的dom解析,更不容易被發現,可以更改頁面布局
漏洞危害:xss蠕蟲、會話、流量劫持、網站掛馬、盜取cookie
防護方法:設置黑名單和白名單、對用戶輸入進行過濾、入參字符過濾、出參字符轉義、設置httponly
CSRF漏洞
csrf漏洞:中文名稱跨站請求偽造,攻擊者冒充用戶身份執行用戶操作
漏洞原理:
1、用戶登錄信任網站在未退出的情況下訪問攻擊者構造的惡意網站
2、惡意網站發出訪問第三方網站的請求,信任網站收到請求以用戶信息訪問
3、攻擊者在用戶不知情的情況下冒充用戶身份訪問成功
檢測漏洞:抓取一個請求包,去掉referer字段進行訪問,如果訪問有效則存在漏洞
危害:盜用用戶身份、執行用戶操作,修改信息
防護方法:
1、設置referer字段;但是並不是所有服務器在任何時候都可以接受referer字段,所以這個方法存在一定的局限性
2、設置驗證碼;在用戶操作的過程中設置身份確認的驗證碼,該方法會很有用,不過驗證碼頻繁的話會影響用戶體驗
3、設置token值,在用戶請求中設置一個隨機沒有規律的token值可以有效的防止攻擊者利用漏洞攻擊
區別
從上我們可以總結出:
xss:跨站腳本攻擊、誘騙用戶點擊惡意鏈接盜取用戶cookie進行攻擊、不需要用戶進行登錄、xss除了利用cookie還可以篡改網頁等
csrf:跨站請求偽造、無法獲取用戶的cookie而是直接冒充用戶、需要用戶登錄后進行操作