分类: LINUX
2010-08-24 19:12:48
我有2条QQ,每天都喜欢逛QQ空间。有一次,我在某个浏览器里面打开了QQ1的QQ空间(具有权限控制的系统),逛了一下好友的空间,发现其文章写得不 错,准备发表留言。但在留言之前,出于某些原因(例如有人在QQ2空间留言),我就开启了另外一条QQ2的QQ空间(这个浏览器是支持多窗口的),并进行 一些操作,例如更改心情,回复留言等。之后记起之前还在看的那篇文章,就返回去看完,并进行留言。就在这个时候,我发现此时进行留言的账号已经不是我 QQ1的账号,而是QQ2的。当时感到很奇怪,因为我看的那篇文章的QQ空间是做了权限控制的,QQ2并不是那个QQ的好友,本来不可能进行的操作就这样 实现了。
如果你看懂我写的是什么的话,你也会好奇,这是为什么啊?
偶然解惑:
3个小时的会议印象深刻:
其 实,这个疑问已经沉淀在我深深的脑海里了。由于今天师兄师姐们要进行毕业照,所以很幸运能够在昨天晚上跟师兄们聚在一起交流,从9点到12点,印象深刻。 也就在昨晚,我也才知道这是怎么样一个原因,感谢师兄们的分享,O(∩_∩)O哈哈~,我学习了就要做下总结,以后再深入理解。
根源是Cookies?
说实话的,可以这么说吧。但还有一个原因,是浏览器的多标签多窗口问题。
多窗口浏览器在提供便捷功能的同时,也带来了一些问题,因为多窗口浏览器新开的窗口是具有当前所有会话的。例如我用IE6(单窗口浏览器)登录了我的QQ 空间——这样就运行了一个IE进程,然后我想看学校的BBS——又运行一个IE进程,这个时候两个IE窗口的会话是彼此独立的,从BBS的IE发送请求到 QQ空间是不会有我登录的cookie;但是多窗口浏览器永远都只有一个进程,各窗口的会话是通用的,即QQ空间的窗口发请求到BBS是会带上我在QQ登 录的cookie。
话说回来,这就是传说中的XSS和CSRF了。
初识XSS和CSRF
什么是XSS?
XSS又叫CSS (Cross Site Script) ,脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。
什么是CSRF?
CSRF(Cross- site request forgery)跨站请求伪造,也被称成为“one click attack”或者session riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相 左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比,CSRF攻击往往不大流行(因此对其 进行防范的资源也相当稀少)和难以防范,所以被认为比XSS更具危险性。
我的思考
经 过同师兄们的交流当中,我对web前端开发有了新的认识,也开阔了一下视野。做前端的,不只只是指你如何设计出一个网站的前台出来,如何实现 PSD2HTML,如何解决各种浏览器之间的兼容问题,重要的更多部分是在客户端的性能问题,包括加载速度、显示效果还有安全等等。
