前端系统学习-CSRF和XSS

  • 介绍CSRF和XSS
    CSRF:跨站请求伪造。盗用身份,以盗用的身份的名义发送请求。实例:用户登录了一个页面后挂着,又打开了恶意网站,恶意网站暗地要求访问了之前挂着的登录过的页面,并用这个身份向页面发送自己的请求。
    防御:使用验证码;检查https头部的refer,使用token。
    CSS:跨站脚本攻击。偷偷注入自己的脚本,在用户浏览网页的时候偷偷运行脚本,比如获取cookie等。有存储型和反射型两种。存储型持久化,如在个人信息或发表文章等地方加入代码,如果没有过滤或过滤不严,那么这些代码将储存到服务器中,用户访问该页面的时候触发代码执行。反射型非持久化,需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。
    防御:设置set-cookie的值为httponly(禁止运行脚本);对用户的输入进行检查,过滤掉特殊字符(恶意脚本代码)

你可能感兴趣的:(前端系统学习)