CSRF 和 XSS 和 XXE 有什么区别，以及修复方式？ - 考试宝

多选题 CSRF 和 XSS 和 XXE 有什么区别，以及修复方式？

A、 XSS是跨站脚本攻击，用户提交的数据中可以构造代码来执行，从而实现窃取用户信息等攻击。修复方式：对字符实体进行转义、使用HTTP Only来禁止Javascript读取Cookie值、输入时校验、浏览器与Web应用端采用相同的字符编码。CSRF是跨站请求伪造攻击，XSS是实现CSRF的诸多手段中的一种，是由于没有在关键操作执行时进行是否由用户自愿发起的确认。修复方式：筛选出需要防范CSRF的页面然后嵌入Token、再次输入密码、检验Referer

B、 XXE是XML外部实体注入攻击，XML中可以通过调用实体来请求本地或者远程内容，和远程文件保护类似，会引发相关安全问题，例如敏感文件读取。修复方式：XML解析库在调用时严格禁止对外部实体的解析。

下载APP答题

由4l***ai提供分享举报纠错

相关试题

单选题下图为AES加密的明文和密文字符串，请问该加密使用了哪种分组模式加密前：000000000000000000000000000000000000000000000000000000000000000加密后：

A、fbcd723ec4f10af24a9472349f722954

B、fbcd723ec4f10af24a9472349f722954

C、fbcd723ec4f10af24a9472349f722954

D、13d7ffbfe87a41c1fef1f429af20babc

单选题注入漏洞只能查账号密码？

A、只要权限广，拖库脱到老。

B、必选

单选题提权时选择可读写目录，为何尽量不用带空格的目录？

A、因为exp执行多半需要空格界定参数

B、必选

单选题如果一个网站存在CSRF漏洞，可以通过CSRF漏洞做下面哪些事情

A、获取网站用户注册的个人资料信息

B、修改网站用户注册的个人资料信息

C、冒用网站用户的身份发布信息

D、以上都可以

单选题 access 扫出后缀为asp的数据库文件，访问乱码。如何实现到本地利用。

A、迅雷下载，直接改后缀为.mdb。

B、必选

单选题 sql注入有以下两个测试选项，选一个并且阐述不选另一个的理由：

A、 demo.jsp?id=2+1

B、 demo.jsp?id=2-1

单选题 iOS平台上常见的Hook框架有

A、 Xposed

B、 Intent Fuzz

C、 Drozer

D、 Substrate

单选题 mysql注入点，用工具对目标站直接写入一句话，需要哪些条件？

A、root权限以及网站的绝对路径。

B、必选