用最简单的话，一分钟讲明白xss和csrf攻击，以及如何防御

爱被打了一巴掌 2022-12-01 11:47 116阅读 0赞

导语：  
现在网站经常会遭受到一些攻击，使得用户信息泄露或者用户个人财产受到损伤，本文用最简单的语言，讲述以下xss和csrf攻击，以及他们的防御手段。

### 本文的目录 ###

*  一，xss攻击
 *  二，csrf攻击

# 一，xss攻击 #

这是一种最早期之一的网站攻击方式，同时它现在还被用在一些安全方面做的不好的小网站中作为攻击方式。

**什么是xss攻击呢？**

我来举个简单的例子，用户发表评论到评论区，内容是：

function postcookies() { 
    	let cookies = 当前网页的用户cookie
    	//做成表单，自动提交到黑客的服务器等等代码
    }

这样的评论写上去，然后发布评论，如果这个评论功能没有做一些防御xss攻击的能力，那么这个JavaScript的代码就会被当成一段普通的评论内容提交上去。

接着其他用户在看到这个评论的时候，用户的cookie信息就会被自动提交到黑客的服务器中，从而导致你的账户密码被窃取，信息泄露等问题。

**那么如何预防这个xss攻击呢？**

其实很简单，只要把JavaScript的（< script>< /script>）这个脚本标签进行处理就行了，通常是做一层转义，把<和>转变成’&lt‘和’&gt‘。甚至把单双引号，斜杆这些脚本经常使用到的符号进行转义，从而导致xss攻击失效。

具体可以在前端提交前做一层过滤，后台再过滤一次，这样xss基本就失效了。

# 二，csrf攻击 #

这也是一种常见的网站攻击手段，它主要利用的是我们网站对于用户的信任。

\*\*什么意思呢？\*\*简单讲就是你刚刚登陆了腾讯充值中心，登陆充钱完了，你就关掉网站了，换了另外一个网站`www.xiaomizhou.com`。

然后这个网站里面有个图片或者是超链接，这个url是`www.qq.com/chongzhizhongxin/pay?accout=xiaomizhou&number=10000；`（我们假设这是qq充值中心对于充值的api接口，现实中肯定不是这样也没有这么简单）。只要你点击了这个按钮，你就会向小米粥账户充值10000个q币了。

**为什么能够这样呢？**

因为你刚刚登陆过qq充值系统不久，登陆状态还没有消失，信息都还在，所以能够直接调用接口进行支付。在这个过程中，黑客没办法知道你的用户信息，支付密码，甚至你的账户。但是凭借着qq充值网站对于用户的信任，以为这是你本人的操作，所以执行了。

**那么怎么防御呢？**

只要我们开发人员，在一些重要的接口上设置一个验证过程，而这个验证是需要在qq充值中心网页的一个随机码（可以是时间戳加密），然后通过一系列的加密才能够获得。

而csrf攻击是在`www.xiaomizhou.com`上发布出来的，没有进入到qq充值中心，所以无法获得这个随机数，从而调用接口的时候这个部分的信息为空或者错误，然后调用失败。

![在这里插入图片描述][20200819195904573.png_pic_center]

**建议收藏，不然刷着刷着就可能找不到了**。

> 微信搜索【web小馆】，回复’全栈博客项目‘，即可免费获取项目源码和后续的实战教程，用简单有趣的语言，提升你的计算机基础知识和前端技术。

同时你的点赞是对我最大的鼓励，谢谢。

[20200819195904573.png_pic_center]: /images/20221123/3aeb2c73e21d43e8943229b0711700a3.png

发表评论取消回复

表情：

评论列表（有 0 条评论，116人围观）

还没有评论，来说两句吧...

相关阅读

相关 CSRF是什么?攻击原理?如何防御CSRF?

一.CSRF是什么？　　CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/sessi

古城微笑少年丶/ 2024年03月22日 18:01/ 0 赞/ 80 阅读

相关 XSS及CSRF攻击防御

XSS XSS是什么？ XSS即跨站脚本攻击，是由于处理不好用户的输入，导致恶意脚本在浏览器中执行 XSS的分类反射型XSS 用户通过页面输入框输入

朱雀/ 2023年10月02日 12:14/ 0 赞/ 45 阅读

相关什么是csrf攻击如何避免,CSRF攻击与防御

一、什么是CSRF攻击 CSRF攻击的全称为跨站脚本伪造，也称为One Click Attack或者Session Eiding，通常缩写为CSRF或者XSRF。CSRF通

逃离我推掉我的手/ 2023年09月29日 13:21/ 0 赞/ 43 阅读

相关 Spring MVC防御CSRF、XSS和SQL注入攻击

[链接：防御CSRF、XSS和SQL注入攻击][CSRF_XSS_SQL] [CSRF_XSS_SQL]: http://www.cnblogs.com/Mainz/arc

今天药忘吃喽~/ 2023年06月14日 14:55/ 0 赞/ 40 阅读

相关用最简单的话，一分钟讲明白xss和csrf攻击，以及如何防御

导语：现在网站经常会遭受到一些攻击，使得用户信息泄露或者用户个人财产受到损伤，本文用最简单的语言，讲述以下xss和csrf攻击，以及他们的防御手段。本文的目录

爱被打了一巴掌/ 2022年12月01日 11:47/ 0 赞/ 117 阅读

相关 XSS与CSRF攻击防御概念

先看这两篇文章：[XSS攻击原理及防御措施][XSS] [CSRF攻击介绍及防御][CSRF] 攻击概念 CSRF跨站请求伪造（Cross-site request

傷城~/ 2022年07月16日 17:48/ 0 赞/ 271 阅读

相关 CSRF和XSS攻击

本文转载至 http://www.2cto.com/ 本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XS

柔情只为你懂/ 2022年07月11日 06:54/ 0 赞/ 314 阅读

相关浅析XSS和CSRF攻击及防御

原文链接[浅析XSS和CSRF攻击及防御][XSS_CSRF] 定义 > XSS(Cross Site Scripting跨站脚本)，为不和层叠样式表(Cascadin

桃扇骨/ 2022年05月25日 06:12/ 0 赞/ 356 阅读

相关 Spring MVC防御CSRF、XSS和SQL注入攻击

说说CSRF 对[CSRF][]来说，其实[Spring3.1][]、[ASP.NET MVC3][]、Rails、[Django][]等都已经支持自动在涉及POST的地

秒速五厘米/ 2022年04月14日 02:09/ 0 赞/ 617 阅读

相关 XSS及CSRF攻击原理及防御方法

一、概念： XSS攻击全称跨站脚本攻击(Cross Site Scripting); CSRF（Cross-site request forgery）跨站请求伪造，也被称

绝地灬酷狼/ 2022年03月01日 08:11/ 0 赞/ 377 阅读