点击劫持(click-Jacking)
点击劫持(clickjacking)是一种在网页中将恶意代码等隐藏在看似无害的内容(如按钮)之下,并诱使用户点击的手段。
举例来说,如用户收到一封包含一段视频的电子邮件,但其中的“播放”按钮并不会真正播放视频,而是链入一购物网站。这样当用户试图“播放视频”时,实际是被诱骗而进入了一个购物网站。
todo
跨站脚本攻击 Cross-site scripting (XSS)
是代码注入 Code injection 的一种。它允许用户将 恶意代码(malicious client-side code) 注入到网页上,其他用户在观看网页时就会受到影响。
XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。
被攻击成功的原因 通常是 Web app 没有采用足够的校验或编码 validation or encoding,浏览器无法自行判断该恶意代码是不可信的,所以 gives it access to
- any cookies,
- session tokens,
- or other sensitive site-specific information,
- or lets the malicious script rewrite the HTML content
跨站请求伪造 Cross-site request forgery (CSRF)
也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。
Reference
2017 Top 10 Web app vulnerabilities
防范 XSS 实战小结
如何防止 XSS 攻击
如何防止 CSRF 攻击
