【知识梳理】3.9安全类

1.前端安全的分类

• CSRF
• XSS

2.CSRF

基本概念和缩写：跨站请求伪造，英文名Cross-site request forgery，缩写CSRF。
攻击原理：

不可缺少的两大因素：
1.用户一定在注册网站登陆过；
2.网站的某一接口有漏洞（引诱链接会自动携带cookie，不会自动携带Token）。

防御措施：

• Token验证（访问网站后，服务器将Token存储在本地，需手动上传）；
• Referer验证（referer指的是页面来源，服务器判断此页面是否为本站点的，是则执行，否则拦截）；
• 隐藏令牌（和Token相似，他是隐藏在head头中，而不是放在连接上，会做的比较隐蔽）。

3.XSS

基本概念和缩写：跨站脚本攻击，英文名cross-site scripting，缩写XSS。
攻击原理：http://www.imooc.com/learn/812
防御措施：http://www.imooc.com/learn/812

4.CSRF和XSS区别

攻击原理区别：

• CSRF是利用你本身的漏洞，自动执行你本身的接口，依赖于用户需要登录你的网站。
• XSS不需要做任何登录认证，核心原理是向你的页面注入脚本js，js里包含他想执行的操作（通过合法的评论区注入不可执行的JS）；

防御措施区别：XSS核心宗旨是让你插入的JS不可执行。