网站攻击方法原理

网站攻击方法原理


xss （跨站脚本攻击）
原理：
1.通过脚本读取别人的cookie信息，从做到登陆别人的帐号，就可以修改有关信息了。
2.通过注入脚本到评论中，只要用户点击就会读取到用户的cookie信息。

防御：
1.评论中加入对输入内容的过滤，防止注入了脚本。
2.为Cookie加上HttpOnly标记。HttpOnly标记则会告诉浏览器，被标记上的Cookie是不允许任何脚本读取或修改的，
这样即使Web应用产生了XSS漏洞，Cookie信息也能得到较好的保护，达到减轻损失的目的。


CSRF攻击（跨站请求伪造）
原理：
1.用户登陆了目标网址，同时能登陆了黑客网址，当黑客网址用一个资源标签（如img）获取的资源又是目标网址提供服务时，
黑客网址就实现了用你的帐号访问目标网址资源的目的了。

防御：
1.在Web应用程序侧防御CSRF漏洞，一般都是利用referer、token或者验证码