91.CSRF和GIFAR攻击及Web蠕虫和富文本攻击如何进行手动测试,以及对应的防护方法rn答:①CSRF.测试:构建一个实际环境,例如网站A、网页B(包含网站A URL地址的html页面即可),用户登录网站A,接着访问网页B.验证同时是否自动又访问了网站A.防御:个人用户则需要养成良好的习惯,比如登录银行与重要业务系统等敏感Web系统时不要同时登录其他网站和网页,退出敏感Web系统时一定要注销,不要使用浏览器的用户名/密码记录功能.从开发角度,企业进行Web业务系统与网站设计时,最好加入验证码和token等判断因素,尽可能使用Post而不是Get;rn②GIFAR.制止这种攻击可以依靠Web站点加装新的文件过滤器或者通过限制Java虚拟机实现,Sun在2008年也发布过补丁;rn③Web蠕虫.测试:编写及测试方法网上已有很多介绍,可以参考.防御:Web蠕虫大多数是利用XSS漏洞,而CSRF攻击结合Javascript劫持技术完全可以制作自动传播的Web蠕虫,后者比前者更具威胁性.