一、CSRF
CSRF防御分为服务端防御和客户端防御。
服务端CSRF防御:思想是在客户端页面中 增加为随机数(确保每一次都不一样,且随机就行)
(1)Cookie Hashing(所有表单包含一个伪随机值),以inout hidden域中存放Hash值,然后再后端验证。需要注意的是不能滥用get请求,get请求必须确保幂等。
(2)提交请求加验证码
二、XSS