这是一个创建于 2474 天前的主题,其中的信息可能已经有所发展或是发生改变。
公司网站被人说缺少跨站框架脚本保护,要求整改,但是完全不知到什么意思,小型的电商网站。如果需要链接,小弟待会贴出
 |
1
whx20202 2018-01-29 16:27:39 +08:00
跨站 框架 脚本 保护?
估计是无法防御 xss 或者 csrf 漏洞把? |
 |
2
1iuh 2018-01-29 16:29:12 +08:00
就是无法防御 csrf 的意思。
|
 |
3
yulitian888 2018-01-29 16:31:12 +08:00
XSS 吧
简单来说,比如我在某论坛里发帖子,帖子正文写这样的东西: <script>alert("本论坛即将于某年月日关闭,请及时保存数据迁移到 XXX 论坛");</script> 如果不做任何处理的话,在别人浏览的时候,吼吼~~~~ |
 |
4
he583899772 OP @yulitian888 问题是,常用的 xss 攻击我都试了,过滤了啊,注入都没什么用
|
 |
5
explon 2018-01-29 16:34:35 +08:00
这种听风就是雨的傻领导还要跟?
|
|
6
he583899772 OP @explon 领导不懂技术啊
|
|
7
yulitian888 2018-01-29 16:40:19 +08:00
@he583899772 不排除还有用 get 方式操作数据资源的情况,比如写一个类似这样的玩意,诱导用户打开:
<img src="http://一个域名 /page.php?Buy=11&Count=10&money=1000"> 而假设此时用户的 Session 是合法的,于是。。。 |
 |
8
zwl2012 2018-01-29 16:56:11 +08:00 via iPhone
@he583899772 csrf 跟 xss 有关联但并不相同,xxs 是不影响服务端,csrf 是伪造用户请求攻击服务端,比如用户访问恶意站点后,执行恶意脚本伪造用户请求发帖。因为用户访问携带了 session,在你看来是完全合法的请求。也有解决方法,用户提交数据必须携带 csrf_token,否则不予认可,token 每次请求都刷新一遍即可。
|
|
9
he583899772 OP @zwl2012 谢谢解答,有点思路了
|
 |
10
sunjourney 2018-01-29 17:14:43 +08:00
用 appscan 扫一下?
|
 |
11
yichinzhu 2018-01-29 17:27:07 +08:00  1
cross frame scripting, 漏洞原理参考:
https://www.owasp.org/index.php/Cross_Frame_Scripting http://cuishen.iteye.com/blog/1924097 一般是国外的一些扫描器会扫出来,国内很少关注这个漏洞,危害比较小。 修复方式: http 响应头设置 X-Frame-Options,禁止网页以 frame 形式加载,或限制仅本域能以 frame 形式加载 https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options |
 |
12
fate 2018-01-29 17:35:26 +08:00
那你就说加上了
|
|
13
yichinzhu 2018-01-29 18:19:56 +08:00
p.s. xss 全称 Cross-site Scripting 中文名跨站脚本攻击,csrf 全称 Cross-Site Request Forgery 中文名跨站请求伪造
|
 |
14
rqrq 2018-01-30 10:23:15 +08:00
csrf 最简单的防御就是跟写入有关的 url,包括退出登录,用 POST 来提交,后端验证是 POST 才处理。
|
Select Language