紧急求救老程序员!!!缺少跨站框架脚本保护啥意思啊

2018-01-29 16:24:37 +08:00
 he583899772
公司网站被人说缺少跨站框架脚本保护,要求整改,但是完全不知到什么意思,小型的电商网站。如果需要链接,小弟待会贴出
3913 次点击
所在节点    程序员
15 条回复
whx20202
2018-01-29 16:27:39 +08:00
跨站 框架 脚本 保护?
估计是无法防御 xss 或者 csrf 漏洞把?
1iuh
2018-01-29 16:29:12 +08:00
就是无法防御 csrf 的意思。
yulitian888
2018-01-29 16:31:12 +08:00
XSS 吧
简单来说,比如我在某论坛里发帖子,帖子正文写这样的东西:
<script>alert("本论坛即将于某年月日关闭,请及时保存数据迁移到 XXX 论坛");</script>
如果不做任何处理的话,在别人浏览的时候,吼吼~~~~
he583899772
2018-01-29 16:33:08 +08:00
@yulitian888 问题是,常用的 xss 攻击我都试了,过滤了啊,注入都没什么用
explon
2018-01-29 16:34:35 +08:00
这种听风就是雨的傻领导还要跟?
he583899772
2018-01-29 16:37:13 +08:00
@explon 领导不懂技术啊
yulitian888
2018-01-29 16:40:19 +08:00
@he583899772 不排除还有用 get 方式操作数据资源的情况,比如写一个类似这样的玩意,诱导用户打开:
<img src="http://一个域名 /page.php?Buy=11&Count=10&money=1000">
而假设此时用户的 Session 是合法的,于是。。。
zwl2012
2018-01-29 16:56:11 +08:00
@he583899772 csrf 跟 xss 有关联但并不相同,xxs 是不影响服务端,csrf 是伪造用户请求攻击服务端,比如用户访问恶意站点后,执行恶意脚本伪造用户请求发帖。因为用户访问携带了 session,在你看来是完全合法的请求。也有解决方法,用户提交数据必须携带 csrf_token,否则不予认可,token 每次请求都刷新一遍即可。
he583899772
2018-01-29 16:59:52 +08:00
@zwl2012 谢谢解答,有点思路了
sunjourney
2018-01-29 17:14:43 +08:00
用 appscan 扫一下?
yichinzhu
2018-01-29 17:27:07 +08:00
cross frame scripting, 漏洞原理参考:

https://www.owasp.org/index.php/Cross_Frame_Scripting

http://cuishen.iteye.com/blog/1924097

一般是国外的一些扫描器会扫出来,国内很少关注这个漏洞,危害比较小。

修复方式: http 响应头设置 X-Frame-Options,禁止网页以 frame 形式加载,或限制仅本域能以 frame 形式加载

https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-Frame-Options
fate
2018-01-29 17:35:26 +08:00
那你就说加上了
yichinzhu
2018-01-29 18:19:56 +08:00
p.s. xss 全称 Cross-site Scripting 中文名跨站脚本攻击,csrf 全称 Cross-Site Request Forgery 中文名跨站请求伪造
rqrq
2018-01-30 10:23:15 +08:00
csrf 最简单的防御就是跟写入有关的 url,包括退出登录,用 POST 来提交,后端验证是 POST 才处理。
CloudMx
2018-01-30 11:32:02 +08:00
@rqrq POST 是解决不了 CSRF 的,CSRF 可以 GET 方式也可以 POST 方式。验证 REFERER,token 才是王道,如有 XSS 这种就全没用了。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/426845

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX