前端安全-关于XSS和CSRF

XSS 跨站脚本攻击 CSRF 跨站请求伪造

1.XSS:

浏览器向服务器请求的时候被注入脚本攻击
类型:
1.反射型(非持久型):攻击者通过从url中输入XSS代码,作为输入提交到服务器端,服务器解析响应,XSS代码随着响应内容传回到浏览器,有浏览器解析执行XSS代码.
2.存储型(持久型):它与反射型不同的是,存储型会注入到服务器数据库中,从而使普通用户的每次请求都具有XSS代码,从而具备了扩散性.
3.基于DOM型:通过DOM来动态修改页面内容,从客户端获得DOM中的数据并在本地执行.

防范措施:
1.输入过滤
2.输出过滤
3.增加httponly 请求头,锁死cookie

2.CSRF:

攻击者通过网站B去引诱用户去访问已经登录的网站A,这样就可以通过用户的身份去进行一些违背用户意愿的请求,造成用户损失

防范措施:
1.服务器验证 http请求的refer头信息
2.请求时增加token验证字段
3.增加验证码验证