web安全

csrf（Cross-site request forgery）跨站请求伪造

原理：

• 网站对用户的信任（比如用户在知乎登录成功，用户发请求带上token，后台就会通过）
• 欺骗诱导用户对目标站点发送请求（比如你在其他网站上，有一个连接，“如何学习编程 http://zhihu/api/answer/del/xxxx”，当你点击了，就发送了一个GET请求）

如何构造 csrf 攻击：

• 伪造成网址，引诱用户点击
• 通过修改 等带有 src 属性的标签发送请求
• 通过 js 代码操作表单，发送数据

防御：

• 验证码，每次发送请求都进行验证
• token，每次生成的链接都带上一个随机 token，发送给服务器再进行验证是否本人发送

xss 跨站脚本攻击

原理：

• 往页面加入一段 script 标签包着的 js 代码，浏览器就会解析运行这段代码
• 如果一不小心被其他人在自己正在登陆的页面中注入了代码，他就有可能拿到 cookie，伪装成自己的身份了

如何构造 xss 攻击：

• 在页面的输入框中输入带有