【前端面试】07 安全问题：CSRF和XSS

红太狼 2024-04-17 05:31 77阅读 0赞

本文笔记基于「千古壹号」的GitHub项目：https://github.com/qianguyihao/web

### 文章目录 ###

*  1.考点
 *  2.解决方法
 *   *  2.1 CSRF
     *  2.2 XSS
 *  3.区别

# 1.考点 #

*  CSRF
 *  XSS  
    **不会太难，考察基本概念、攻击方式、防御措施**

# 2.解决方法 #

## 2.1 CSRF ##

1.基本概念、缩写、全称？  
CSRF:Cross-site request forgery,**跨站请求伪造**  
2.攻击原理

*  cookie （ \[ˈkʊki\] ，储存在用户本地终端上的数据）
 *  完成一次攻击，满足2个条件：  
    （1）登录受信任网站，并在本地生成Cookie；  
    （2）在不登出A的情况下，访问危险网站B。

3.防御措施  
**方法1：Token（ \[ˈtoʊkən\]）验证**  
（1）服务器发送给客户端一个token；  
（2）客户端提交的表单中带着这个token。  
（3）如果这个 token 不合法，那么服务器拒绝这个请求。  
**方法2：隐藏令牌**

*  把 token 隐藏在 http 的 head头中。
 *  和方法1类似，只是使用方式不同

**方法3：Referer（Refer，\[rɪˈfɜːr\] ）验证**

*  只接受本站的请求，服务器才做响应

## 2.2 XSS ##

1.基本概念、缩写、全称？  
XSS（Cross Site Scripting）：跨域脚本攻击。

2.攻击原理  
不需要你做任何的登录认证，它会**通过合法的操作向你的页面注入脚本**

3.攻击方式

*  **反射型**:代码出现在url中，作为输入提交到服务器端
 *  **存储型**:提交的代码会存储在服务器端,不用再提交XSS代码。

4.防御措施

*  编码
 *  过滤
 *  校正

# 3.区别 #

区别1：（概念的区别）

*  CSRF:需要用户先登录网站A，获取cookie
 *  XSS：无需登录

区别2：（原理的区别）

*  CSRF:利用网站A的漏洞，请求网站A的api
 *  XSS：向网站A注入JS代码，篡改网站A的内容

发表评论取消回复

表情：

评论列表（有 0 条评论，77人围观）

还没有评论，来说两句吧...

相关阅读

相关 web安全之CSRF、XSS、sql注入

*XSS攻击：跨站脚本攻击**， XSS攻击是Web攻击中最常见的攻击方法之一，它是通过对网页注入可执行代码且成功地被浏览器执行，达到攻击的目的，形成了一次有效XSS攻击...

小灰灰/ 2024年04月18日 14:56/ 0 赞/ 104 阅读

相关【前端面试】07 安全问题：CSRF和XSS

文笔记基于「千古壹号」的GitHub项目：https://github.com/qianguyihao/web 文章目录 * 1.考点 * 2.解决...

红太狼/ 2024年04月17日 05:31/ 0 赞/ 78 阅读

相关如何处理前端安全性问题（XSS、CSRF等）？

聚沙成塔·每天进步一点点 ⭐ 专栏简介前端入门之旅：探索Web开发的奇妙世界欢迎来到前端入门之旅！感兴趣的可以订阅本专栏哦！这个专栏是为那些对Web开发感

﹏ヽ暗。殇╰゛Y/ 2024年03月01日 08:44/ 0 赞/ 46 阅读

相关前端安全问题之CSRF和XSS

一、CSRF 1、什么是 CSRF CSRF（全称 Cross-site request forgery），即跨站请求伪造 2、攻击原理用户登录A网

雨点打透心脏的1/2处/ 2023年06月02日 09:18/ 0 赞/ 34 阅读

相关前端安全之XSS和CSRF攻击

目录 1. 什么是XSS ？ 1.1 概念 1.2 攻击方式 1

冷不防/ 2023年03月04日 08:26/ 0 赞/ 45 阅读

相关前端xss和csrf部分概述

Web安全的两大特性: 私密性: 不被非法获取和利用可靠性: 不丢失不损坏不被篡改攻击造成的安全问题: 用户身份被盗用用户密码泄露用

╰半橙微兮°/ 2022年12月01日 12:20/ 0 赞/ 138 阅读

相关 CSRF和XSS攻击

本文转载至 http://www.2cto.com/ 本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XS

柔情只为你懂/ 2022年07月11日 06:54/ 0 赞/ 314 阅读

相关 Web安全之CSRF和XSS

一、CSRF 实验原理： CSRF（Cross-Site Request Forgery，跨站点伪造请求）是一种网络攻击方式，该攻击可以在受害者毫不知情的情况下以受害者名

系统管理员/ 2022年05月15日 10:34/ 0 赞/ 286 阅读

相关 Web前端安全问题：XSS攻击、CSRF攻击、点击劫持

文章目录前端有哪些攻击方式？ 1. XSS攻击 XSS 本质原理

小灰灰/ 2022年01月31日 00:31/ 0 赞/ 547 阅读

相关前端安全：XSS和CSRF

1.概念 XSS：Cross Site Script，中译是跨站脚本攻击 CSRF：Cross-site request forgery，中文为跨站请求伪造 XSS 攻击

- 日理万妓/ 2021年12月11日 10:43/ 0 赞/ 278 阅读