这是一个创建于 2837 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司网站被人说缺少跨站框架脚本保护,要求整改,但是完全不知到什么意思,小型的电商网站。如果需要链接,小弟待会贴出
 | 1 whx20202 2018-01-29 16:27:39 +08:00 跨站 框架 脚本 保护? 估计是无法防御 xss 或者 csrf 漏洞把? |
 | 2 1iuh 2018-01-29 16:29:12 +08:00 就是无法防御 csrf 的意思。 |
 | 3 yulitian888 2018-01-29 16:31:12 +08:00 XSS 吧 简单来说,比如我在某论坛里发帖子,帖子正文写这样的东西: <script>alert("本论坛即将于某年月日关闭,请及时保存数据迁移到 XXX 论坛");</script> 如果不做任何处理的话,在别人浏览的时候,吼吼~~~~ |
 | 4 he583899772 OP @yulitian888 问题是,常用的 xss 攻击我都试了,过滤了啊,注入都没什么用 |
 | 5 explon 2018-01-29 16:34:35 +08:00 这种听风就是雨的傻领导还要跟? |
| 6 he583899772 OP @explon 领导不懂技术啊 |
| 7 yulitian888 2018-01-29 16:40:19 +08:00 @he583899772 不排除还有用 get 方式操作数据资源的情况,比如写一个类似这样的玩意,诱导用户打开: <img src="http://一个域名 /page.php?Buy=11&Count=10&mOney=1000"> 而假设此时用户的 Session 是合法的,于是。。。 |
 | 8 zwl2012 2018-01-29 16:56:11 +08:00 via iPhone @he583899772 csrf 跟 xss 有关联但并不相同,xxs 是不影响服务端,csrf 是伪造用户请求攻击服务端,比如用户访问恶意站点后,执行恶意脚本伪造用户请求发帖。因为用户访问携带了 session,在你看来是完全合法的请求。也有解决方法,用户提交数据必须携带 csrf_token,否则不予认可,token 每次请求都刷新一遍即可。 |
| 9 he583899772 OP @zwl2012 谢谢解答,有点思路了 |
 | 10 sunjourney 2018-01-29 17:14:43 +08:00 用 appscan 扫一下? |
 | 11 yichinzhu 2018-01-29 17:27:07 +08:00  1 cross frame scripting, 漏洞原理参考: https://www.owasp.org/index.php/Cross_Frame_Scripting http://cuishen.iteye.com/blog/1924097 一般是国外的一些扫描器会扫出来,国内很少关注这个漏洞,危害比较小。 修复方式: http 响应头设置 X-Frame-Options,禁止网页以 frame 形式加载,或限制仅本域能以 frame 形式加载 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options |
 | 12 fate 2018-01-29 17:35:26 +08:00 那你就说加上了 |
| 13 yichinzhu 2018-01-29 18:19:56 +08:00 p.s. xss 全称 Cross-site Scripting 中文名跨站脚本攻击,csrf 全称 Cross-Site Request Forgery 中文名跨站请求伪造 |
 | 14 rqrq 2018-01-30 10:23:15 +08:00 csrf 最简单的防御就是跟写入有关的 url,包括退出登录,用 POST 来提交,后端验证是 POST 才处理。 |
Select Language