呵呵????????
- csrf(跨站点请求伪造):某个请求是攻击者伪造的,诱导用户进入陷阱。csrf需要通过服务器验证才能生效,这就需要使用cookie,cookie又分为临时和本地的,在IE和Safari不允许不同域获取本地cookie(第三方)而火狐谷歌则允许不同域获取本地cookie(第三方)。
也就是在IE或Safari中,www.b.com若想用csrf攻击www.a.com时a上set-cookie不会成功传所以传不到b去导致攻击无法成功,而在火狐谷歌则会成功。但若使用p3p头,所有浏览器都不会拦截第三方cookie的发送。
csrf的防御:1.验证码,让伪造的攻击被用户察觉,最简单有效。2.来源检查,服务器只对确定来源的请求开放。3.加密,csrf的重要操作都是可以被攻击者猜测到的,所以在用户和服务器约定一个公钥是一个解决办法,任何请求都需验证密钥。通常采用token值,真随机。 - 点击劫持:让用户点击透明或者伪造的iframe(诱导用户和页面产生交互行为)。点击劫持和csrf都是在用户不知情的情况下完成攻击。
分为:1.falsh点击劫持,一个falsh游戏一步一步诱导用户进入陷阱。2.图片覆盖攻击(xsio),在重要的图片或信息上建立攻击用iframe。3.拖拽劫持与数据窃取,因拖拽流行,原理类似falsh劫持来完成数据窃取。4.触屏劫持,利用手机上的一些视觉效果比如在原来的搜索框隐藏时伪造搜索框。
点击劫持的防御:frame busting。原理:请求地址和地址栏的地址是否相同。
删了。