XSS與CSRF有什么區(qū)別嗎？XSS是在不預(yù)先知道其他用戶(hù)頁(yè)面的代碼和數(shù)據(jù)包的情況下獲取信息。CSRF是代替用戶(hù)完成指定的動(dòng)作，需要知道其他用戶(hù)頁(yè)面的代碼和數(shù)據(jù)包。要完成CSRF攻擊，受害者必須依次完

XSS與CSRF有什么區(qū)別嗎？

XSS是在不預(yù)先知道其他用戶(hù)頁(yè)面的代碼和數(shù)據(jù)包的情況下獲取信息。CSRF是代替用戶(hù)完成指定的動(dòng)作，需要知道其他用戶(hù)頁(yè)面的代碼和數(shù)據(jù)包。要完成CSRF攻擊，受害者必須依次完成兩個(gè)步驟：

登錄受信任的網(wǎng)站a并在本地生成cookie。

訪問(wèn)危險(xiǎn)網(wǎng)站B而不注銷(xiāo)A。

CSRF防御

服務(wù)器端有許多CSRF方法，但總體思路是相同的，即在客戶(hù)端頁(yè)面上添加偽隨機(jī)數(shù)。通過(guò)驗(yàn)證碼的方法。

你太天真了，不會(huì)告訴你你不能保護(hù)自己。

讓我們看看什么是CSRF攻擊：CSRF跨站點(diǎn)請(qǐng)求偽造攻擊者盜用您的身份并以您的名義發(fā)送惡意請(qǐng)求。該請(qǐng)求對(duì)服務(wù)器完全合法，但它完成了攻擊者預(yù)期的操作，例如以您的名義發(fā)送電子郵件和消息、竊取您的帳號(hào)、添加系統(tǒng)管理員，甚至購(gòu)買(mǎi)商品和轉(zhuǎn)移虛擬貨幣。

在這種攻擊中，一種是你說(shuō)的客戶(hù)端攻擊，你的手機(jī)或電腦已經(jīng)保存了cookie，比如你正在瀏覽頭條新聞，黑客給你發(fā)了一個(gè)鏈接，仔細(xì)構(gòu)造了tweet，然后你可以點(diǎn)擊后自動(dòng)發(fā)送tweet。如果不將cookie保存在手機(jī)或電腦上，這種攻擊就無(wú)法實(shí)現(xiàn)。但如果鏈接的構(gòu)造比較巧妙，可以自動(dòng)點(diǎn)擊登錄，自動(dòng)保存cookie，那么你還是可以成功的。

另一種是服務(wù)器攻擊，您不保存cookie，但是許多服務(wù)器程序允許您使用會(huì)話來(lái)保持會(huì)話。餅干放在你的地方。無(wú)法修改會(huì)話。但這種攻擊具有及時(shí)性。您必須正在瀏覽網(wǎng)頁(yè)。例如，你在京東購(gòu)物。此時(shí)，如果您點(diǎn)擊黑客發(fā)送的已構(gòu)建的京東鏈接，您將受到CSRF的攻擊。

因此，現(xiàn)在更安全的網(wǎng)站，如果它可以抵御CSRF，將讓cookie和會(huì)話同時(shí)使用，并使用httponly cookie。同時(shí)，它還將為您提供一系列由服務(wù)器用來(lái)驗(yàn)證的隨機(jī)令牌值。這樣，雖然黑客可以構(gòu)建惡意連接，但他們無(wú)法知道您的令牌值，因此自然無(wú)法攻擊您。

然而，近年來(lái)，由于大網(wǎng)站的業(yè)務(wù)不斷增長(zhǎng)，為了方便用戶(hù)，很多網(wǎng)站往往稱(chēng)同一個(gè)令牌值。例如，如果你在電腦上登錄標(biāo)題，悟空問(wèn)答也會(huì)登錄。黑客會(huì)在這些不同的商業(yè)網(wǎng)站的通話中發(fā)現(xiàn)漏洞，并進(jìn)行令牌攻擊。

如果你真的想防守，你仍然需要以人為本，提高警惕。另外，我在標(biāo)題上寫(xiě)了兩篇針對(duì)CSFR的攻擊，一篇是“零滲透學(xué)習(xí)網(wǎng)頁(yè)滲透第三課，首次體驗(yàn)CSRF漏洞”，一篇是“黑客毛毛黨技術(shù)披露支付寶紅包暴力與毛毛”，大家可以關(guān)注我，看看這兩篇文章，加深對(duì)CSRF的了解攻擊。

完全不使用cookie是否就可以防御CSRF攻擊？

這顯然是集成QQ登錄的問(wèn)題，因?yàn)榻涌跊](méi)有驗(yàn)證，或者當(dāng)前域名與應(yīng)用QQ登錄接口的域名不一致。這只能反映給管理員，由他們來(lái)解決。如果你在整合中什么都不懂，你可以尋找潛質(zhì)。去我的網(wǎng)站看看。有許多技術(shù)文章。