Den viktigaste skillnaden mellan XSS och CSRF är att i XSS (eller Cross Site Scripting) accepterar webbplatsen den skadliga koden medan den skadliga koden i CSRF (eller Cross Site Request Forgery) lagras i den tredje festsajter. XSS är en typ av datorsäkerhetssårbarhet i webbapplikationer som gör det möjligt för angripare att injicera skript på klientsidan på webbsidor som andra användare tittar på. Å andra sidan är CSRF en typ av skadlig aktivitet av en hackare eller en webbplats som sänder obehöriga kommandon som användarens webbapplikation kommer att lita på.
Webbutveckling är processen att programmera en webbplats enligt kundens krav. Varje organisation underhåller webbplatser. Dessa webbplatser hjälper till att förbättra verksamheten och få vinst. Samtidigt kan det finnas hot som påverkar webbplatsens funktionalitet. Två av dem är XSS och CSRF.
Vad är XSS?
XSS är en kodinjektionsattack som injicerar skadlig kod på webbplatsen. Det är en av de vanligaste webbplatsattackerna. Det kan påverka webbplatsen och kan även påverka användarna av den webbplatsen. Med andra ord, när det finns en XSS-attack på webbplatsen, kommer den koden att köras i användarna av den webbplatsen av webbläsaren.
Figur 01: XSS Attack
Ett vanligt språk för att skriva skadlig kod för XSS är JavaScript. XSS kan stjäla användarens cookies. Det kan ändra webbsidan så att den ser ut och beter sig annorlunda. Dessutom kan den visa nedladdningar av skadlig programvara och ändra användarens inställningar.
Det finns två typer av XSS-attacker. De kallas ihållande och icke-beständiga. Vid ihållande XSS-attack lagras den skadliga koden i webbplatsens databas. Användaren kan komma åt det utan någon kunskap. Den icke-beständiga XSS-attacken kallas även Reflected XSS. Det skickar det skadliga skriptet som en HTTP-förfrågan. Det är de två huvudsakliga typerna i XSS.
Vad är CSRF?
På en webbplats finns det en klientsida och en serversida. Webbsidorna, formulären finns på kundsidan. Serversidan utför en åtgärd när användaren agerar. Serversidan får förfrågningar från andra webbplatser också.
CSRF-attack lurar användaren att interagera med en sida eller ett skript på en tredje parts webbplats. Det kommer att generera en skadlig begäran till användarens webbplats. Men servern antar att det är en begäran från en auktoriserad webbplats. När användaren accepterar det kan en angripare ta kontrollen över att använda data som skickas i begäran.
Ett exempel är följande. En användare loggar in på sitt bankkonto. Banken förser honom med en sessionstoken. En hacker kan lura användaren att klicka på en falsk länk som pekar mot banken. När användaren klickar på länken använder den föregående sessionstoken. Sedan körs hackarens begäran och användarkontot hackas. Han kan överföra pengar från sitt konto. Begäran till banken är förfalskad eftersom den använder samma sessionstoken som användaren. Sammantaget är det viktigt att veta hur man skyddar webbplatsen från CSRF-angrepp i webbutveckling.
Vad är skillnaden mellan XSS och CSRF?
XSS står för Cross Site Scripting och CSRF står för Cross Site Request Forgery. XSS är en typ av datorsäkerhetssårbarhet i webbapplikationer som gör det möjligt för angripare att injicera skript på klientsidan på webbsidor som andra användare tittar på. CSRF är en typ av skadlig aktivitet av en hackare eller en webbplats som sänder obehöriga kommandon som användarens webbapplikation kommer att lita på. Dessutom kräver XSS JavaScript för att skriva den skadliga koden medan CSRF inte kräver JavaScript.
Dessutom, i XSS, accepterar webbplatsen den skadliga koden medan den skadliga koden i CSRF lagras på tredje parts webbplatser. Detta är den största skillnaden mellan XSS och CSRF. Vanligtvis är en webbplats som är sårbar för XSS-attack också sårbar för CSRF-attacken. En webbplats som har skydd mot XSS kan dock fortfarande vara sårbar för CSRF-attacker.
Sammanfattning – XSS vs CSRF
XSS och CSRF är två typer av attacker mot en webbplats. XSS står för Cross Site Scripting medan CSRF står för Cross Site Request Forgery. Skillnaden mellan XSS och CSRF är att i XSS accepterar webbplatsen den skadliga koden medan den skadliga koden i CSRF lagras på tredje parts webbplatser.
