0xelitesystem/csrf-and-xss-reference

GitHub: 0xelitesystem/csrf-and-xss-reference

以通俗易懂的 Markdown 文档形式,系统讲解 CSRF 与 XSS 的攻击原理、防御措施及两者区别,帮助 Web 开发者掌握基础安全防护知识。

Stars: 0 | Forks: 0

# CSRF 与 XSS 这是一份用通俗易懂的语言编写的关于两种最常见 Web 应用攻击的参考指南:跨站请求伪造(CSRF)和跨站脚本(XSS)。内容涵盖了每种攻击的本质、逐步运作的原理、真正能阻止它们的防御措施,以及两者之间的区别,帮助你不再将它们混淆。 ## 核心概念 CSRF 诱骗已登录用户的浏览器发送不需要的已认证请求,而 XSS 则注入由攻击者控制的脚本,使其在你的页面内运行。CSRF 利用了网站对用户浏览器的信任(cookie 会被自动发送),因此其修复方法是证明请求是出自本意的:使用 CSRF token 和 SameSite cookie。XSS 利用了浏览器对你页面的信任,因此其修复方法是永远不让不受信任的数据成为可执行的标记:输出编码(output encoding)、Content Security Policy,并避免使用像 innerHTML 这样的 sink。 ## 内容概览 - `01-what-is-csrf.md` 什么是 CSRF 及其生效的确切机制。 - `02-defending-against-csrf.md` CSRF token、SameSite cookie 以及其他实际的防御措施。 - `03-what-is-xss.md` XSS 的三种类型以及注入的脚本是如何运行的。 - `04-defending-against-xss.md` 输出编码、CSP 以及避免危险的 sink。 - `05-how-they-differ.md` 一份帮助区分这两者的直观对比。 ## 态度 这些都是古老且已被充分理解的攻击,有着真实且平淡无奇的防御方法。防御失败几乎从来不是因为缺少什么奇特的工具;而是因为漏掉了一个 token、一个没有设置 SameSite 的 cookie,或者是将用户输入直接丢进了 HTML 中。请在所有地方都采用标准的防御措施,而不仅仅是在你想得起来的地方。 ## 许可证 MIT。版权所有 0xelitesystem 2026。
标签:CSRF, Web安全, XSS, 技术文档, 漏洞情报, 蓝队分析, 防御加固