CSRF、XSS及XXE有什么區別和修復方式?xSS是(shi)跨站腳本攻擊,用戶提(ti)交的數(shu)據中可(ke)以(yi)構造代(dai)碼來執(zhi)行(xing),從而實(shi)現竊(qie)取(qu)用戶信息等攻擊。
修復(fu)方式:對字符(fu)實體進(jin)行轉義、使用HTTPOnly來禁(jin)JavaScript讀取Cookie值、輸入時(shi)校驗、瀏覽器與(yu)Web應用端采(cai)用相(xiang)同(tong)的字符(fu)編碼。
CSRF是(shi)跨(kua)站(zhan)請求偽(wei)造攻(gong)擊,XSS是(shi)實現CSRF的諸(zhu)多(duo)手段中的一種,是(shi)由于沒有在關(guan)鍵操作
執行時進行是否由用戶自(zi)愿發起的確(que)認。
修復方式:篩選出需(xu)要防范CSRF的頁面(mian)然后嵌入Token、再次輸入密碼、檢驗(yan)Referer。
XXE是XML外部(bu)實體(ti)注入攻擊,XML中可以(yi)通過調用實體(ti)來請求(qiu)本地或者遠(yuan)程內容,和遠(yuan)
程文件保護(hu)類(lei)似,會引發相關(guan)安全問題(ti),例如敏感文件讀取。
修復(fu)方式:XML解析庫在調用時嚴格(ge)禁止對外部實體的解析。