XSS和CSRF攻击原理及防御

XSS，又名跨站脚本攻击。通过注入js代码来发起攻击。
攻击对象：响应式功能页面，比如：论坛，论坛的特点是写上的文本会被显示在页面中，这种就容易被XSS盯上。
攻击原理：通过插入带有js的script标签或者可执行的js代码来实施攻击，html标签属性，url带有JavaScript脚本。
防御措施：
1、过滤输入内容，把<>等转换成<、>等。
2、设置响应头X-XSS-Protection，浏览器会自动检测可能产生XSS攻击的输入。
3、过滤以javascript开头的url
4、防止用户cookie被盗可以设置cookie为http-only
CSRF，又名跨站请求伪造。通过携带目标网站前端的已登录的cookie向目标网站后端发起请求，在用户不知情的情况下盗取用户财产或信息。
防御措施：
1、因为CSRF攻击是不通过前端页面的所以可以在前端加验证码或者加token。
2、因为CSRD攻击是第三方网站发起的所以后端可以通过referer判断是不是来着正确的网址的请求。