前端安全基础（XSS、CSRF）

一、CSRF

1、基本概念和缩写

CSRF，通常被称为跨站请求伪造，英文名Cross-site request forgery。

2、攻击原理

（1）前提：①用户在注册网站A登录过，②接口有漏洞。
（2）引诱点击，往往是一个链接（这个链接自动携带cookie，不会带token），指向网站A的api，接口是get类型。浏览了A，浏览器自动生成新的cookie，网站A拿到cookie，接口运行。

3、防御措施

（1）token验证。
注册网站，或者访问网站，服务器自动向本地存储一个token。
（2）refer验证。
服务器判断页面是不是我这个站点来的页面。
（3）隐藏令牌。
http的head头，不会放在链接上。

二、XSS

1、基本概念和缩写
XSS(cross-site scripting 跨域脚本攻击)

2、攻击原理：http://www.imooc.com/learn/812
原理：向页面注入脚本。
eg:提交区（评论区）写img标签，script标签，利用合法渠道向页面注入js

3、防御措施：http://www.imooc.com/learn/812
宗旨：让xss不可执行。

三、CSRF ,XSS的区别

XSS是向页面注入js去运行，然后在js函数体中做他想做的事情
CSRF是利用网站漏洞，自动执行接口。用户需要登陆网站