《HTTP详解》XSS攻击和CSRF攻击

XSS攻击和CSRF攻击是常见的网络安全问题，它们都涉及到前端Web开发。

XSS攻击（跨站脚本攻击）

XSS攻击是指攻击者利用漏洞将恶意脚本注入到网页中，从而窃取用户信息或控制用户浏览器的行为。攻击者通常通过在网站的输入框中插入恶意代码，比如JavaScript代码，来实现这种攻击。

如何在前端防范：

• 对用户输入的数据进行过滤和转义，避免直接渲染到页面中
• 设置HTTP响应头的X-XSS-Protection为1，启用浏览器的XSS过滤器
• 使用Content Security Policy（CSP）来限制可信来源的资源和脚本

CSRF攻击（跨站请求伪造攻击）

CSRF攻击是指攻击者利用用户已登录的身份，以用户不知情的方式向目标网站发起恶意请求。攻击者通常通过向用户发送包含恶意请求的链接或通过欺骗用户点击附加了恶意代码的页面来实现这种攻击。

如何在前端防范：

• 在关键操作（如提交表单或修改数据）前，验证请求的来源是否合法
  为每个用户生成一个随机的Token，并将其嵌入到表单或请求中，验证请求的Token是否合法
• 设置HTTP响应头的X-Frame-Options为DENY，禁止页面被嵌入到其他网站的iframe中
• 用HTTP-Only Cookie，避免攻击者获取到Cookie