Xss و csrf

DaDaDooDoo · Jan 3, 2012

سلام
تفاوت حملات XSS و CSRF دقیقاً در چیست ؟ ( در عمل نه در تئوری )
چرا در مقابله با حمله های CSRF از token استفاده می شه ؟

m0hammad · Jan 3, 2012

xss: اعتماد کاربر به وب سایت

CSRF : اعتماد وب سایت به کاربر

یه جورایی برعکس همدیگن

استفاده از توکن ریسک حمله را کاهش میده نه این که کاملا بر طرفش کنه.

برای هر کاربری در ابتدای سشن یک توکن ست میشه ( حالا میتونه با استفاده از زمان باشه ) و چک میشه که درخواست هایی که به وب سایت میاد از همون کاربر باشه. در حقیقت یک لایه اعتبار سنجی اضافه میشه.

کارهای دیگه ای هم که میشه کرد استفاده از post به جای GET هست

DaDaDooDoo · Jan 3, 2012

xss: اعتماد کاربر به وب سایت

CSRF : اعتماد وب سایت به کاربر

خوب راستش منظورم از اینکه گفتم در عمل ، نه در تئوری همین بود

این تفاوتی رو که شما فرمودید می دونم ، یک مثال کاربردی می خوام

برای هر کاربری در ابتدای سشن یک توکن ست میشه ( حالا میتونه با استفاده از زمان باشه ) و چک میشه که درخواست هایی که به وب سایت میاد از همون کاربر باشه. در حقیقت یک لایه اعتبار سنجی اضافه میشه.

مفهوم و کاربرد token رو می دونم ، سوال اصلیم این هست که چرا ارتباطی با حملات CSRF داره ...