phpcsrf攻擊與xss攻擊區(qū)-創(chuàng)新互聯(lián)

這篇文章給大家分享的是有關(guān)php csrf攻擊與xss攻擊區(qū)的內(nèi)容。小編覺得挺實(shí)用的，因此分享給大家做個(gè)參考。一起跟隨小編過來看看吧。

成都創(chuàng)新互聯(lián)公司長期為近千家客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為汾西企業(yè)提供專業(yè)的成都網(wǎng)站制作、成都做網(wǎng)站，汾西網(wǎng)站改版等技術(shù)服務(wù)。擁有十載豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

CSRF的基本概念、縮寫、全稱

CSRF（Cross-site request forgery）：跨站請求偽造。

PS：中文名一定要記住。英文全稱，如果記不住也拉倒。

CSRF的攻擊原理

用戶是網(wǎng)站A的注冊用戶，且登錄進(jìn)去，于是網(wǎng)站A就給用戶下發(fā)cookie。

從上圖可以看出，要完成一次CSRF攻擊，受害者必須滿足兩個(gè)必要的條件：

（1）登錄受信任網(wǎng)站A，并在本地生成Cookie。（如果用戶沒有登錄網(wǎng)站A，那么網(wǎng)站B在誘導(dǎo)的時(shí)候，請求網(wǎng)站A的api接口時(shí)，會提示你登錄）

（2）在不登出A的情況下，訪問危險(xiǎn)網(wǎng)站B（其實(shí)是利用了網(wǎng)站A的漏洞）。

我們在講CSRF時(shí)，一定要把上面的兩點(diǎn)說清楚。

溫馨提示一下，cookie保證了用戶可以處于登錄狀態(tài)，但網(wǎng)站B其實(shí)拿不到 cookie。

XSS的基本概念

XSS（Cross Site Scripting）：跨域腳本攻擊。

XSS的攻擊原理

XSS攻擊的核心原理是：不需要你做任何的登錄認(rèn)證，它會通過合法的操作（比如在url中輸入、在評論框中輸入），向你的頁面注入腳本（可能是js、hmtl代碼塊等）。

最后導(dǎo)致的結(jié)果可能是：

盜用Cookie破壞頁面的正常結(jié)構(gòu)，插入廣告等惡意內(nèi)容D-doss攻擊

CSRF 和 XSS 的區(qū)別

區(qū)別一：

CSRF：需要用戶先登錄網(wǎng)站A，獲取 cookie。XSS：不需要登錄。

區(qū)別二：（原理的區(qū)別）

CSRF：是利用網(wǎng)站A本身的漏洞，去請求網(wǎng)站A的api。XSS：是向網(wǎng)站 A 注入 JS代碼，然后執(zhí)行 JS 里的代碼，篡改網(wǎng)站A的內(nèi)容。

感謝各位的閱讀！關(guān)于php csrf攻擊與xss攻擊區(qū)就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，讓大家可以學(xué)到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到吧！

當(dāng)前名稱：phpcsrf攻擊與xss攻擊區(qū)-創(chuàng)新互聯(lián)
網(wǎng)頁鏈接：http://muchs.cn/article32/ceccpc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信小程序、Google、網(wǎng)站策劃、域名注冊、App開發(fā)、網(wǎng)站排名

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)