一、CSRF跨站请求伪造攻击:
防御方法:加验证码
我觉得应该是,原来用户是登录态,那就证明了有cookie,用户点进了你这个链接,你这个链接对应的是一个html页面,页面中写了以上逻辑,利用form表单提交请求不会有跨域问题,就可以相当于是用户做了一次提交(直接请求接口,发送了数据),其实就是利用源生form表单提交不会有跨域问题,人家拿着你现有的登录态发起请求,注入自己的代码。如果有验证码的话,比如验证码,这就是唯一性了,黑客没有这个验证码,相当于加了个保险。所以现在很多评论的功能,都是需要验证码的。
二、clickjacking-点击劫持:
点击劫持是一种视觉欺骗的攻击手段。攻击者将需要攻击的网站通过iframe嵌套的方式嵌入自己的网页中,并将ifame设置为透明,在页面中透出一个按钮诱导用户点击。
就上面这个比如诱导用户点击,其实是帮你点赞。
防御方法:
1)后端设置:
2)前端JS方式:比较古老的做法
以上代码的作用就是当通过 iframe 的方式加载页面时,攻击者的网页直接不显示所有内容了。
三、请求劫持DNS-HTTP
四、DDOS