XSS是啥?
xss就是跨域脚本攻击
什么是跨域脚本攻击?
就是在正常的输入框中(如:用户名修改等)插入script恶意代码,从而在你遍历数据的时候加载该js文件,
获取你的cookie或session,从而模拟发送cookie登录你的后台
CSRF是啥?
csrf是跨域请求伪造
什么是跨域请求伪造?
打个比方:
你登录了某网站,恰巧我在不经意间知道了你登录了这个网站,那么我就先自己试一下转账的请求,
看一下转账请求的接口,以及需要传递的参数,如转账要post访问xxx.cn传递 token 、price(钱)、mobile(收款人手机号)、
那么我们就可以写一个网站,在网站里面写一个脚本模拟请求,只是把收款人的手机号改成我的手机号,然后引诱你进来浏览
我的网站,一旦你进来了,那么我在网站里写的脚本自动发起请求,但是由于你近期已经登录过该网站了,session或者是
cookie还没有过期,所以使用你的浏览器发送请求那边验证的是你本人的请求,那么我就达到了我的目的,使用你的信息做
我想做的事情
最后:攻击别人的网站是违法的噢,被抓到了会赠送银色手铐一副并带你去旅游,包吃住的那种噢