¿Cuál es la diferencia entre XSS y CSRF?
XSS es para obtener información, y no es necesario conocer de antemano los códigos y paquetes de datos de otras páginas de usuario. CSRF debe completar acciones específicas en nombre del usuario y necesita conocer los códigos y paquetes de datos de otras páginas de usuario. Para completar un ataque CSRF, la víctima debe completar dos pasos en secuencia:
Inicie sesión en el sitio web confiable A y genere una cookie localmente.
Accede al sitio web peligroso B sin cerrar sesión en A.
Defensa CSRF
Hay muchas formas de implementar CSRF en el lado del servidor, pero la idea general es la misma, que es agregar números pseudoaleatorios a la página del cliente. A través del método del código de verificación.
por 三行MOOC