xss和csrf攻击

xss(Cross site scripting)跨站脚本攻击

xss是指向html或dom中注入恶意脚本，从而在用户浏览页面的时候利用脚本对用户实施攻击的手段

xss可以实现：

• cookie信息的窃取
• 监听用户行为（如表单输入提交）
• 修改dom（伪造登录页面窃取账号密码）
• 生成浮窗广告

防止xss攻击的策略：

• 服务器对输入脚本进行过滤或转码
• 设置cookie为http-only

csrf（cross site request forgery）跨站请求伪造

csrf指引诱用户进入恶意网站，利用用户在其他网站的登录状态发起跨站请求，窃取用户信息。

csrf实现方式：

• 通过图片url自动发送get请求
• 构建隐藏表单自动发送post请求
• 引诱用户点击链接进行攻击

防止csrf攻击的策略：

• 设置 cookie 时带上SameSite: strict/Lax选项
• 验证请求的来源站点，通过 origin 和 refere 判断来源站点信息
• csrf token，浏览器发起请求服务器生成csrf token，发起请求前会验证 csrf token是否合法。第三方网站肯定是拿不到这个token，csrf token 是前后端约定好后写死的。