1、基本概念和缩写
2、攻击原理
3、防御措施
XSS:跨站脚本攻击 cross-site scripting
原理:向页面注入脚本,比如评论区,写入script
防御:
编码:对用户输入的数据进行 HTML Entity编码
过滤:移除用户删除的DOM属性,如onerror等;移除用户上传的style节点,script节点,iframe节点等
校正
CSRF:跨站伪造请求 Cross-site request forgery
用户一定要在网站A登录
防御:
token验证:在登录网站A的时候,服务器会在本地存放一个token,在访问各种接口的时候,先验证token
referer验证: referer就是页面来源,服务器判断URL的来源
隐藏令牌:
xss与csrf的区别:
xss注入js,做js里面的事件;csrf利用本身的漏洞,自动帮你执行接口,而且用户需要先登录