1. 程式人生 > >XSS和CSRF區別?

XSS和CSRF區別?

XSS原理:

根本我個人理解XSS又叫CSS(Cross-SiteScripting跨站指令碼攻擊)為了不和css層疊樣式表混淆,所以改成了XSS。XSS是將惡意的程式碼插入到html頁面中,當用戶瀏覽頁面時,插入的html程式碼會被執行,從而達到最終目的。

XSS分為三種:

反射型:這種反射型一般存在連結中,請求連結時,程式碼經過伺服器端就會反射回來。

儲存型:一般在留言板、搜尋框裡會遇到,直接插入到留言板中當用戶每次訪問時都會反射這種稱為儲存型。

DOM型:是一種發生在客戶端文件物件模型中的跨站漏洞。

XSS和csrf的區別:XSS發生在客戶端,CSRF發生在服務端。

以上三種漏洞會造成:身份盜用,釣魚欺騙、垃圾資訊傳送等;

XSS:修復方式和SQL注入修復方式相同,建議檢視歷史文章。

CSRF:根據我的理解,CSRF是跨站請求偽造(Cross-siterequestforgery)大家可能認為和XSS漏洞相似容易混淆,其實和XSS區別還是很大的,與XSS攻擊相比,CSRF攻擊不流行(所以防範的資源也稀少)和難以防範,所以被稱為比XSS更具危險性。同樣這也是XSS和CSRF區別之一。

以下是我總結的常見區別:

(1)CSRF比XSS漏洞危害更高。

(2)CSRF可以做到的事情,XSS都可以做到。

(3)XSS有侷限性,而CSRF沒有侷限性。

(4)XSS針對客戶端,而CSRF針對服務端。

(5)XSS是利用合法使用者獲取其資訊,而CSRF是偽造成合法使用者發起請求。

本文由小龍1028原創作品,歡迎轉載

cffsec團隊不僅是學習的源泉,更是大家技術分享的平臺,同樣也是你們的另一個學習家園,希望大家多多關注,也可以提出自己寶貴的意見。

 掃描二維碼關注公眾號@cffsec安全團隊