浏览器攻击

浏览器跨域

JavaScript出于安全方面的考虑做的同源策略的限制,不允许跨域访问其他资源。跨域请求成功后,浏览器会拦截服务器端返回的结果

同源:域名、协议、端口均相同。举例来说,`http://www.example.com/dir/page.html`这个网址,协议是`http://`,域名是`www.example.com`,端口是`80`(默认端口可以省略)

CSRF攻击

攻击者指挥用户攻击目标网站

graph LR
user-->|1,username&password|target(目标网站)
target-->|2,OK&set cookie|user
user-.->|3,目标cookie存在,访问攻击者站点|tacker[攻击者站点]
tacker-.->|4,让用户请求目标网站执行特定操作|user
user-.->|5,利用自己的权限做攻击操作|target
sequenceDiagram
participant attacker as 攻击者站点
participant user as 用户
participant target as 目标站点

user->>+target:1,request,username&password
target-->>user:2,response,set-cookie
user->>+attacker:3,request,请求攻击者站点
attacker-->>-user:4,response,指挥用户访问目标站点
user->>-target:5,request,利用自己的权限发起攻击操作

XSS攻击

伪装用户自己发起攻击

sequenceDiagram
participant attacker as 攻击者站点
participant user as 用户
participant target as 目标站点

attacker-->>user:1,request,发送含有攻击代码的目标站点链接
user->>+target:2,request,携带攻击代码,请求目标站点
target-->>user:3,response,目标站点执行后返回用户数据
user->>attacker:4,request,在用户不知情时将cookie,session发送给攻击者
attacker->>-target:5,request,伪装用户访问目标站点
坚持原创技术分享,您的支持将鼓励我继续创作!