XSS CSRF 學習筆記

zerocoder發表於2020-07-27

XSS

XSS 也稱跨站指令碼攻擊 (Cross Site Scripting),惡意攻擊者往 Web 頁面裡插入惡意 JavaScript 程式碼,當使用者瀏覽該頁之時,嵌入其中 Web 裡面的 JavaScript 程式碼會被執行,從而達到惡意攻擊使用者的目的。

XSS 防禦

  • 第一種,對使用者提交的資料進行過濾;
  • 第二種,Web 網頁顯示時對資料進行特殊處理,一般使用 htmlspecialchars() 輸出。

CSRF

跨站請求偽造(英語:Cross-site request forgery)是一種挾制使用者在當前已登入的Web應用程式上執行非本意的操作的攻擊方法。

CSRF 防禦

  • 驗證 HTTP Referer 欄位
  • 請求新增 token 並驗證(laravel使用這種)

參考

6.5. XSS 安全漏洞 |《L02 Laravel 教程 - Web 開發實戰進階 ( Laravel 6.x )》| Laravel China 社群

跨站請求偽造

安全|常見的Web攻擊手段之CSRF攻擊

本作品採用《CC 協議》,轉載必須註明作者和本文連結

相關文章