web安全（一）

深入了解：https://segmentfault.com/a/1190000006672214?utm_source=weekly&utm_medium=email&utm_campaign=email_weekly

CSRF

• 概念：跨站请求伪造（Cross-site request forgery)

• 攻击原理：用户登陆网站的情况下，利用网站漏洞，自动执行接口

  
  
  

  无标题.png

• 攻击成功必备条件：1.用户登陆过该网站 2.该网站接口存在漏洞

• 防御措施：
  --Token验证：访问或登录网站后，服务器向客户端下发token，访问各种接口会验证是否携带了token
  --referer验证：判断页面来源是不是本站点
  --隐藏令牌：服务器端生成一个随机数，随机数放到cookie中，增加一个表单隐藏域，值为当前随机数。
  --验证码

XSS

• 概念：跨站脚本攻击（Cross Site Scripting）
• 攻击原理：向页面注入js脚本
• 防御措施：
  --对用户的输出内容进行过滤(进行转义等)
  --不要拿URL中的参数去eval