我們在使用浏覽器浏覽網頁時,客戶端不僅會遭受XSS攻擊,也會受到CSRF、點擊劫持、url跳轉的攻擊。
CSRF的全稱是Cross-site request forgery,中文稱為跨站請求僞造,是指利用用戶已登錄的身份,在用戶毫不知情的情況下,以用戶的名義完成的操作。
黑客的攻擊思路是利用用戶已登錄的身份,誘使用戶點擊某網頁,用戶登陸網頁,完成非法操作。
點擊劫持是一種視覺上的欺騙手段。黑客使用一個透明的、不可見的iframe,覆蓋在一個網頁上,然後誘使用戶在該網頁上進行操作,此時用戶在毫不知情的情況下點擊透明的iframe頁面。通過調整iframe頁面的位置,可以誘使用戶恰好點擊在iframe頁面上的功能型按鈕上。
url跳轉是指黑客将一個惡意網站的url鍊接和一個可信網站的url鍊接相結合,引導用戶點擊進入惡意網站的操作。
由于用戶很少關注url鍊接中的參數,以及對url跳轉沒有驗證,所以黑客的伎倆會得逞。
,
更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!