常见的web攻击方式
- 1.csrf(跨站请求伪造(Cross-site Request Forgery))
- 2.xss跨站脚本攻击(Cross Site Scripting)
- 3.(Click Jacking)
csrf
利用已经登录的cookie发送恶意请求
spring security 通过使用隐藏域,传递csrf token 校验
xss
用户通过恶意输入脚本,传到服务器,html在展示时执行脚本
click jacking
网页上多了一层透明的遮盖层(iframe),点击按钮时,点击到遮盖层的其他内容
使用 X-FRAME-OPTIONS 解决该攻击
X-FRAME-OPTIONS是微软提出的一个http 头
DENY // 拒绝任何域加载
SAMEORIGIN // 允许同源域下加载
ALLOW-FROM // 可以定义允许frame加载的页面地址