XSS CSRF区别

Table of Contents

XSS

概念

跨站脚本(Cross-site Scripting)
XSS其实就是Html的注入问题

流程

攻击者的Html输入 -> web程序 -> 进入数据库 -> web程序 -> 用户浏览器

手段和目的

- 盗取cookie,获取敏感信息
- 通过crossdomain提权
- 利用iframe,frame进行攻击

防御

将用户提供的内容进行过滤

CSRF

概念

跨站请求伪造(Cross-site Request Forgery)

流程

登录受信任网站A -> 生成cookie -> 访问危险网站B(A不登出的情况下)

防御

- 请求令牌验证
- 通过referer判断(无太大效果)

区别

XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。

Author: josephzeng

Last Updated 2016-04-07. Created by Emacs 24.5.1 (Org mode 8.2.10)

Validate