xss:跨站脚本攻击(Cross Site Scripting) 。XSS利用站点内的信任用户.恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时
,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS 的根本之道还是过滤用户输入.攻击通过在授权用户访问
的页面中包含链接或者脚本的方式工作
csrf:跨站请求伪造(Cross-site request forgery) 冒充用户在站内的正常操作.
绝大多数网站是通过 cookie 等方式辨识用户身份(包括使用服务器端 Session 的网站,因为 Session ID 也是大多保存在 cookie 里面的
),再予以授权的。所以要伪造用户的正常操作,最好的方法是通过 XSS 或链接欺骗等途径,让用户在本机(即拥有身份 cookie 的浏览器
端)发起用户所不知道的请求。CSRF 并不一定要有站内的输入,因为它并不属于注入攻击,而是请求伪造。被伪造的请求可以是任何来源,
而非一定是站内。所以我们唯有一条路可行,就是过滤请求的处理者。利用cookie信息,浏览器带着cookie信息访问服务器。
1.你登录了一个网站后,打开一个tab页面并访问另外的网站。
2.在session为失效的情况下访问另一个危险的网站,危险的网站自动提交请求或当点击时提交请求。
防范:通过token,但不能100%杜绝csrf攻击了,由于用户的cookie很容易由网站的xss漏洞而被盗取。
csrf:osasp csrfguard项目