CSRF(跨站请求伪造)与 XSS(跨站脚本攻击)是 Web 安全中最常见的两种攻击方式。它们的本质区别可以用一句话概括: XSS 是利用用户对网站的信任(执行了恶意脚本),而 CSRF 是利用网站对用户的信任(利用了用户的登录状态)。 以下从四个维度详细解析它们的本质区别: 1. 信任关系的“方向”不同(核心区别) XSS (Cross-Site Scripting): 核心: 破坏了 “用户 -> 网站” 的信任。 解释: 用户访问了受信任的网站,浏览器认为该网站返回的代码(HTML/JS)是安全的并加以执行,但实际上这些代码里混入了攻击者注入的恶意脚本。 CSRF (Cross-Site Request Forgery): 核心: 破坏了 “网站 -> 用户” 的信任。 解释: 网站认为只要请求中携带了正确的 Cookie/Session,就是用户本人的意愿。攻击者正是利用这一点,诱导用户的浏览器在后台默默发送请求,网站无法区分这是用户自发的还是被诱导的。 2. 攻击原理不同 XSS(代码注入): 攻击者需要在受害者浏览的页面中注入并执行恶意 JavaScript 代码。 ...
播面