下面有关csrf的描述，说法错误的是？_哔哩哔哩笔试题

推荐

MyGoodHelper

D

1.XSS 全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。

2. CSRF 的全称是“跨站请求伪造”，是伪造请求，冒充用户在站内的正常操作。

3.过滤用户输入，不允许发布这种含有站内操作URL 的链接。对xss会有用，但阻挡不了CSRF，因为攻击者可以通过QQ 或其他网站把这个链接发布上去，为了伪装可能还使用bit.ly 压缩一下网址，这样点击到这个链接的用户还是无法阻挡csrf。

编辑于 2015-02-02 14:34:31 回复(1)

Miner_Sty

D；

1.XSS 全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。

2.CSRF 的全称是“跨站请求伪造”，而 XSS 的全称是“跨站脚本”。看起来有点相似，它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户，但前面说了，它们的攻击类型是不同维度上的分类。CSRF 顾名思义，是伪造请求，冒充用户在站内的正常操作。我们知道，绝大多数网站是通过 cookie 等方式辨识用户身份（包括使用服务器端 Session 的网站，因为 Session ID 也是大多保存在 cookie 里面的），再予以授权的。所以要伪造用户的正常操作，最好的方法是通过 XSS 或链接欺骗等途径，让用户在本机（即拥有身份 cookie 的浏览器端）发起用户所不知道的请求。

3.XSS 是实现 CSRF 的诸多途径中的一条，但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF。

发表于 2015-04-06 16:36:33 回复(0)

九千里

D

犹豫了两秒，考虑到大多数人（包括安全工程师）对xss和csrf概念的混淆，选择了D。

xss通过对html的注入，用带有src属性的标签<script>、<img>等绕过同源策略，加载其他页面的js，实现攻击。

CSRF通过构造url为正常请求，诱使用户点击，使服务器相信请求合法，从而达到目的。

相似点在哪？可能仅仅在于csrf和某些csrf都需要用到用户的cookies~

发表于 2017-09-22 11:11:56 回复(0)

摆码王子

过滤输入可拦 xss

发表于 2018-12-26 20:15:53 回复(0)

Amour1018

1.XSS 全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。

2. CSRF 的全称是“跨站请求伪造”，是伪造请求，冒充用户在站内的正常操作。

3.过滤用户输入，不允许发布这种含有站内操作URL 的链接。对xss会有用，但阻挡不了CSRF，因为攻击者可以通过QQ 或其他网站把这个链接发布上去，为了伪装可能还使用bit.ly 压缩一下网址，这样点击到这个链接的用户还是无法阻挡csrf。

发表于 2015-09-18 21:35:18 回复(0)

牛客309023462号

撒旦发射点

发表于 2023-03-20 15:55:29 回复(0)

忘魂儿

防御 XSS 攻击最简单直接的方法就是过滤用户的输入

CSRF 防御主要是过滤那些非法伪造的请求来源

发表于 2021-10-07 20:57:12 回复(0)

菜鸟九八号

1.XSS 全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。

2.CSRF 的全称是“跨站请求伪造”，而 XSS 的全称是“跨站脚本”。看起来有点相似，它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户，但前面说了，它们的攻击类型是不同维度上的分类。CSRF 顾名思义，是伪造请求，冒充用户在站内的正常操作。我们知道，绝大多数网站是通过 cookie 等方式辨识用户身份（包括使用服务器端 Session 的网站，因为 Session ID 也是大多保存在 cookie 里面的），再予以授权的。所以要伪造用户的正常操作，最好的方法是通过 XSS 或链接欺骗等途径，让用户在本机（即拥有身份 cookie 的浏览器端）发起用户所不知道的请求。

3.XSS 是实现 CSRF 的诸多途径中的一条，但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF。

链接：https://www.jianshu.com/p/da0df86c8bd0

发表于 2020-03-11 09:17:46 回复(0)

eagle

B

xss跟csrf不一样，它不属于csrf

ACD都是对的

发表于 2015-01-08 11:44:45 回复(0)

牛油果绿

D； 1.XSS 全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有 JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。 2.CSRF 的全称是“跨站请求伪造”，而 XSS 的全称是“跨站脚本”。看起来有点相似，它们都是属于跨站攻击——不攻击服务器端而攻击正常访问网站的用户，但前面说了，它们的攻击类型是不同维度上的分类。CSRF 顾名思义，是伪造请求，冒充用户在站内的正常操作。我们知道，绝大多数网站是通过 cookie 等方式辨识用户身份（包括使用服务器端 Session 的网站，因为 Session ID 也是大多保存在 cookie 里面的），再予以授权的。所以要伪造用户的正常操作，最好的方法是通过 XSS 或链接欺骗等途径，让用户在本机（即拥有身份 cookie 的浏览器端）发起用户所不知道的请求。 3.XSS 是实现 CSRF 的诸多途径中的一条，但绝对不是唯一的一条。一般习惯上把通过 XSS 来实现的 CSRF 称为 XSRF。

发表于 2022-11-29 01:01:11 回复(0)

细雨湿身

1.XSS 全称“跨站脚本”，是注入攻击的一种。其特点是不对服务器端造成任何伤害，而是通过一些正常的站内交互途径，例如发布评论，提交含有JavaScript 的内容文本。这时服务器端如果没有过滤或转义掉这些脚本，作为内容发布到了页面上，其他用户访问这个页面的时候就会运行这些脚本。

2. CSRF 的全称是“跨站请求伪造”，是伪造请求，冒充用户在站内的正常操作。

3.过滤用户输入，不允许发布这种含有站内操作URL 的链接。对xss会有用，但阻挡不了CSRF，因为攻击者可以通过QQ 或其他网站把这个链接发布上去，为了伪装可能还使用bit.ly 压缩一下网址，这样点击到这个链接的用户还是无法阻挡csrf。

发表于 2016-09-11 22:05:42 回复(0)

下面有关csrf的描述，说法错误的是？

问题信息

热门推荐

相关试题