CSRF、XSS及XXE有什么區別和修復方式?xSS是跨站腳本攻擊,用戶提交的數據中可以構造代碼來執行,從而實現竊取用戶信息等攻擊。
修復方式:對字符實體進行轉義、使用HTTPOnly來禁JavaScript讀取Cookie值、輸入時校驗、瀏覽器與Web應用端采用相同的字符編碼。
CSRF是跨站請求偽造攻擊,XSS是實現CSRF的諸多手段中的一種,是由于沒有在關鍵操作
執行時進行是否由用戶自愿發起的確認。
修復方式:篩選出需要防范CSRF的頁面然后嵌入Token、再次輸入密碼、檢驗Referer。
XXE是XML外部實體注入攻擊,XML中可以通過調用實體來請求本地或者遠程內容,和遠
程文件保護類似,會引發相關安全問題,例如敏感文件讀取。
修復方式:XML解析庫在調用時嚴格禁止對外部實體的解析。