Web应用安全：浏览器的如何防御攻击.pptx

浏览器的如何防御攻击 常见的浏览器攻击方式 常见的浏览器攻击方式分为两种： 1、CSRF（跨站请求伪造） 2、XSS（跨站脚本分析） CSRF（跨站请求伪造） CSRF 英文全称是 Cross-site request forgery，是指黑客引诱用户打开黑客的网站，在黑客的网站中，利用用户的登录状态发起的跨站请求。简单来讲，CSRF 攻击就是利用了用户的登录状态，并通过第三方的站点来做一些坏事。而且CSRF 攻击并不需要将恶意代码注入用户的页面，仅仅是利用服务器的漏洞和用户的登录状态来实施攻击 1、定义 CSRF（跨站请求伪造） 利用了web中用户身份验证的一个漏洞：简单的身份验证只能保证请求发自某个用户的浏览器，却不能保证请求本身是用户自愿发出的。 2、存在原因 CSRF（跨站请求伪造） 1、自动发起 Get 请求 2、自动发起 POST 请求 3、引诱用户点击链接 这几种攻击方式的前提： ①目标站点一定要有 CSRF 漏洞； ②用户要登录过目标站点，并且在浏览器上保持有该站点的登录状态； ③需要用户打开一个第三方站点，可以是黑客的站点，也可以是一些论坛。 具体流程参考下图 3、攻