Skip to content

一、常见的web前端攻击方式有哪些?

1. XSS 跨站请求攻击(Cross Site Scripting)

  • 通俗解释

在网站上注入自己的javascript脚本,执行非法操作。

  • 简易场景

一个博客网站,我发表一篇博客,其中嵌入<script>脚本

脚本内容:获取cookie,发送到我的服务器(服务器配合跨域)

发布这边博客,有人查看它,我就能轻松的获取访问者的cookie信息

  • XSS预防

    • 替换特殊字符,如<变成&lt; >变为&gt;
    • <script>变成&lt;script&gt;直接显示,而不会作为脚本执行。
    • 前端要替换,后端也要替换。
  • 工具

2. XSRF 跨站请求伪造[Cross-site request forgery]

  • 通俗解释

跨站伪造用户的请求,模拟用户的操作。

  • 简易场景

用户正在购物,看中的某个商品,商品id是100

付费接口是xxx.com/pay?id=100,但是没有任何验证

攻击者,看中一件商品,id=200

攻击者向你发送一份电子邮件

邮件正文隐藏<img src="xxx.com/pay?id=200">

用户查看邮件,就直接帮攻击者购买了id为200的商品。

  • 预防
    • 使用post接口,没法使用get进行接口请求。
    • 增加验证,秘钥、短信验证、支付验证、指纹等

Released under the MIT License.