XSS和CSRF-Toy模板网

这篇具有很好参考价值的文章主要介绍了XSS和CSRF。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

web安全策略和同源策略的意义

如果登陆了一个网站，不小心又打开另一个恶意网站，如果没有安全策略，则他可以对已登录的网站进行任意的dom操作、伪造接口请求等，因此安全策略是必要的；

浏览器的同源策略限制了非同源的域名之间不可以对DOM进行读写操作、不可以读取非同源的cookie、indexDB、localStorge等数据与资源

由于实际业务不可能完全不引用第三方的资源，因此需要跨域访问，而支持第三方资源引用就会容易引起XSS攻击。XSS是一种代码注入攻击，攻击者在网站注入恶意脚本，在浏览器上运行，从而盗取用户cookie等信息。

存储型XSS：攻击者将恶意脚本注入到有漏洞的服务器，当浏览器访问带有恶意脚本的页面时，就会上传用户信息到恶意服务器
反射型XSS：攻击者诱导用户点击一个连接，然后将带有恶意代码的请求发送到服务器，服务器将恶意代码返回反射到浏览器，完成最终XSS攻击
基于DOM的XSS：这个攻击方法不会涉及到服务器，是在web页面资源传输过程中或者用户使用web页面过程中修改web页面的数据。这个劫持类型较多，例如本地软件劫持、路由器劫持

无论是哪种攻击类型，他们的共同特点都是先将恶意脚本注入浏览器，然后将用户信息发送到恶意服务器。所以阻止XSS攻击要从防止浏览器脚本注入和阻止恶意消息的发送方面来实施。

服务器对输入脚本关键字符进行过滤或转码（例如将<script 转为 <script>）
使用验证码，防止伪造用户提交
对于不受信任的输入，限制输入长度
使用HttpOnly属性标记cookie（HttpOnly属性标记的cookie只能用于请求携带，不能通过js访问）
采用纯前端渲染。不使用服务器渲染，通过接口请求的方式，然后使用innerText、setAttrbute等方法设置内容与属性
使用CSP安全策略。CSP的本质是建立白名单。可以指定哪些外部资源可以加载，来避免恶意第三方脚本的加载；也可以禁止向第三方域提交数据，防止信息外泄；还可以禁止执行内联脚本和未授权的脚本；还提供了上报机制，这样可以帮助我们尽快的发现有哪些XSS攻击，然后进行修复。

CRSF是指跨站请求伪造攻击，攻击者诱导用户进入第三方网站，在攻击者的网站中，利用用户的登陆状态伪造跨域请求，绕过服务器的用户验证，从服务器获取信息。

他的本质是利用同源请求会携带cookie发送到服务器，来冒充用户。

他的攻击特点是利用服务器的漏洞，因此主要是提升服务器的安全性。文章来源地址https://www.toymoban.com/news/detail-646944.html

利用cookie的SameSite属性。Strict-完全禁止第三方cookie；Lax-对于get链接的形式可以携带；None-没有任何限制
验证请求的来源站点。服务器根据http请求头中的origin或referer判断是否为运行的站点，如果这两个值都不存在，则直接拒绝该请求。（缺点是有些情况referer也可以被伪造）
使用CSRF Token验证。浏览器向服务器发起请求时，服务器生成一个随机的CSRF Token，当浏览器再次发送请求时携带此Token，服务器会根据这个token进行验证。（缺点是流程繁琐，每个请求都要携带Token；其次如果服务器搭载了负载均衡，如果请求被分配到其他服务器，这个服务器session中没有缓存这个token，也无法完成验证）
对cookie进行双重验证。浏览器访问页面时，服务器向请求域名中注入一个随机字符串cookie，当用户再次访问时，获取cookie中的字符串并拼接到URL中，服务器根据参数中的字符串和cookie中的字符串进行对比，完成验证。（优点：比上述两种实现都为简单方便；缺点：如果同时遭遇了XSS攻击，则也将失效）