一、CSRF
1、什么是 CSRF
CSRF(全称 Cross-site request forgery),即跨站请求伪造
2、攻击原理
用户登录A网站,并生成 Cookie,在不登出的情况下访问危险网站B
3、防御措施
① 加 Token 验证,通过判断页面是否带有 Token 来进行验证
② 加 Referer 验证,通过判断页面的来源进行验证
③ 隐藏令牌,即把 Token 隐藏在 http 的 head 头中
二、XSS
1、什么是 XSS
XSS(全称 Cross Site Scripting),即跨域脚本攻击
2、攻击原理
通过合法的操作向页面注入 JS
3、防御措施
通过过滤、校正等方式阻止这个 JS 的执行
- 编码
- 过滤
- 校正