反射型、储存型、dom型
DDOS攻击:将大流量网站的流量引到小网站上去
解决方案:
1、cookie:http-only
2、对输入(和URL参数)进行过滤,对输出进行编码。
3、黑名单(哪些字符不能在输入中)与白名单(比如6-14位,只能用数字)
https://www.bilibili.com/video/BV1iW411171s?from=search&seid=9650512088411906409
CSRF:
web与用户知根知底,但某一次请求,用户被攻击人员伪造,请求伪造
(攻击者盗用你的身份,以你的名义发送恶意请求)
解决方案:
1、尽量使用post请求(可以构造一个form表单来实现攻击)
2、加入验证码
3、检查refer