LOADING

xss和csrf 介绍

2022/1/23

xss 和 csrf 介绍

  1. xss   跨站脚本攻击  csrf 是跨站请求伪造
  2. xss

浏览器向服务器请求的时候被注入脚本攻击

分成三种类型   反射型(非持久型), 存储型(持久型), 基于 DOM

防范手段:

  1. 输入过滤

  2. 输出过滤

  3. 加 httponly 请求头   锁死 cookie

  4. csrf

黑客通过网站 B 诱使用户去访问已经登录了的网站 A 进行一些违背用户意愿的请求   造成用户损失

防范手段:

  1. 服务器验证  http 请求的 refer 头信息

  2. 请求的时候 传 token

  3. 加验证码