极客教程XSS和CSRF的区别
XSS
XSS是在网络应用中发现的一个计算机安全漏洞,它使网络犯罪分子能够在用户浏览的网页中注入客户端脚本。网络犯罪分子在访问一个受信任的网站时,使受害者的浏览器执行攻击者注入的脚本(主要是用JavaScript编写的)。网络犯罪分子有几种方法将JavaScript注入受害者信任的网站。它不需要经过验证的会话,当易受攻击的网站没有做基本的验证或转义输入时就可以被利用。
CSRF
跨站请求伪造是最严重的计算机安全漏洞之一,可以通过各种方式加以利用,包括在用户不知情的情况下改变用户的信息,获得对用户账户的完全访问权。网络犯罪分子试图强迫/欺骗你提出一个你不打算提出的请求,利用现有的受害者的环境,如cookies。每次你与网站互动时,其服务器都会检查用户随请求发送的cookie,以便知道是那个用户。
XSS和CSRF之间的区别 –
| 编号 | XSS | CSRF |
|---|---|---|
| 1 | XSS是跨站脚本的意思。 | CSRF是跨站请求伪造的意思。 |
| 2 | 网络犯罪分子在网站中注入恶意的客户端脚本。该脚本的添加是为了给受害者造成某种形式的漏洞。 | 恶意攻击是以这样一种方式创建的,即用户在不知道攻击的情况下向目标网站发送恶意请求。 |
| 3 | 在此,通过未验证的数据注入任意数据。 | CSRF依赖于浏览器的功能和特点来检索和执行攻击捆绑。 |
| 4 | 执行这种攻击需要JavaScript。 | 执行这种攻击不需要JavaScript。 |
| 5 | 网站接受了恶意代码。 | 恶意代码存储在第三方网站。 |
| 6 | 容易受到XSS攻击的网站也容易受到CSRF攻击。 | 完全免受XSS攻击的网站仍然容易受到CSRF攻击。 |
| 7 | 与之相比,XSS的危害更大。 | 相比之下,CSRF的危害较小。 |
| 8 | 使用XSS漏洞,攻击者可以做任何他/她想做的事情。 | 使用CSRF漏洞,攻击者只能做易受攻击的url所做的事情。 |