题目
下面有关csrf的描述,说法错误的是?
A.CSRF则通过伪装来自受信任用户的请求来利用受信任的网站
B.xss是实现csrf的诸多途径中的一条
C.在客户端页面增加伪随机数可以阻挡csrf
D.过滤用户输入的内容也可以阻挡csrf
解答
正确答案是 D
1.XSS 全称“跨站脚本”,是注入攻击的一种。其特点是不对服务器端造成任何伤害,而是通过一些正常的站内交互途径,例如发布评论,提交含有JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本,作为内容发布到了页面上,其他用户访问这个页面的时候就会运行这些脚本。
2. CSRF 的全称是“跨站请求伪造”,是伪造请求,冒充用户在站内的正常操作。
3.过滤用户输入,不允许发布这种含有站内操作URL 的链接。对xss会有用,但阻挡不了CSRF,因为攻击者可以通过QQ 或其他网站把这个链接发布上去,为了伪装可能还使用bit.ly 压缩一下网址,这样点击到这个链接的用户还是无法阻挡csrf。
帖子还没人回复快来抢沙发