Red de conocimiento informático - Problemas con los teléfonos móviles - ¿Cuál es la diferencia entre XSS y CSRF?

¿Cuál es la diferencia entre XSS y CSRF?

XSS es para obtener información, y no es necesario conocer de antemano los códigos y paquetes de datos de otras páginas de usuario. CSRF debe completar acciones específicas en nombre del usuario y necesita conocer los códigos y paquetes de datos de otras páginas de usuario. Para completar un ataque CSRF, la víctima debe completar dos pasos en secuencia:

Inicie sesión en el sitio web confiable A y genere una cookie localmente.

Accede al sitio web peligroso B sin cerrar sesión en A.

Defensa CSRF

Hay muchas formas de implementar CSRF en el lado del servidor, pero la idea general es la misma, que es agregar números pseudoaleatorios a la página del cliente. A través del método del código de verificación.

por 三行MOOC