CSRF
概念:跨站请求伪造
全称:Cross-site request forgery
攻击原理:网站中某一个接口存在漏洞,用户在注册网站登录过
防御措施:
1.Token验证:引诱链接只会自动携带cookie,不会自动携带token
2.Refer验证:refer指页面来源
3.隐藏令牌
XSS
概念:跨域脚本攻击
全称:cross-site scripting
攻击原理:不需要做任何的登录验证,向页面注入脚本
防御措施:让插入的JS不可执行
对比
CSRF:利用本身的漏洞去自动执行接口,依赖于用户登录网站
XSS:向页面注入JS(比如留言评论区)