Das Grundkonzept, die Abkürzung und der vollständige Name von CSRF
CSRF (Cross-site request forgery): Cross-site Fordern Sie eine Fälschung an. (Empfohlenes Lernen: PHP-Video-Tutorial)
PS: Merken Sie sich unbedingt den chinesischen Namen. Den vollständigen englischen Namen vergessen Sie, wenn Sie sich nicht daran erinnern können.
Das Prinzip des CSRF-Angriffs
Der Benutzer ist ein registrierter Benutzer von Website A und meldet sich an, sodass Website A Cookies an den Benutzer ausgibt.
Wie aus der obigen Abbildung ersichtlich ist, muss das Opfer zur Durchführung eines CSRF-Angriffs zwei notwendige Bedingungen erfüllen:
(1) Die Anmeldung ist vertrauenswürdig Website A und generieren Sie Cookies lokal. (Wenn der Benutzer nicht auf Website A angemeldet ist, werden Sie von Website B aufgefordert, sich anzumelden, wenn Sie während der Einführung die API-Schnittstelle von Website A anfordern.)
(2) Besuchen Sie gefährliche Websites, ohne sich von A B abzumelden (tatsächlich die Schwachstelle von Website A ausnutzen).
Wenn wir über CSRF sprechen, müssen wir die beiden oben genannten Punkte klarstellen.
Zur Erinnerung: Cookies stellen sicher, dass Benutzer angemeldet sein können, Website B kann jedoch keine Cookies erhalten.
Grundlegende Konzepte von XSS
XSS (Cross Site Scripting): Cross-Domain-Scripting-Angriff.
XSS-Angriffsprinzip
Das Kernprinzip des XSS-Angriffs ist: Sie müssen keine Anmeldeauthentifizierung durchführen, es werden legale Vorgänge (z. B. die Eingabe in) durchgeführt URL, geben Sie sie in das Kommentarfeld ein), fügen Sie Skripte (vielleicht js, HTML-Codeblöcke usw.) in Ihre Seite ein.
Das Endergebnis könnte sein:
Cookies stehlen, um die normale Struktur der Seite zu zerstören, Werbung und andere D-Doss-Angriffe mit bösartigem Inhalt einzufügen
Der Unterschied zwischen CSRF und XSS
Unterschied 1:
CSRF: Der Benutzer muss sich zuerst auf Website A anmelden, um Cookies zu erhalten. XSS: Keine Anmeldung erforderlich.
Unterschied 2: (Grundsätzlicher Unterschied)
CSRF: Es nutzt die Schwachstelle von Website A selbst, um die API von Website A anzufordern. XSS: Fügt JS-Code in Website A ein und führt den Code dann in JS aus, um den Inhalt von Website A zu manipulieren.
Das obige ist der detaillierte Inhalt vonDer Unterschied zwischen PHP-CSRF-Angriff und XSS-Angriff. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
So öffnen Sie eine PHP-Datei
So entfernen Sie die ersten paar Elemente eines Arrays in PHP
Was tun, wenn die PHP-Deserialisierung fehlschlägt?
So verbinden Sie PHP mit der MSSQL-Datenbank
So verbinden Sie PHP mit der MSSQL-Datenbank
So laden Sie HTML hoch
So lösen Sie verstümmelte Zeichen in PHP
So öffnen Sie PHP-Dateien auf einem Mobiltelefon
![[Web-Frontend] Node.js-Schnellstart](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
