CSRF(Cross Site Request Forgery)跨站请求伪造:利用后台后有规律的接口,并诱导你去点击,访问这个接口,而这个接口可能就是利用你的账户去做一些事情,比如购买商品,发送邮件等。
XSS(Cross-site-scripting):在客户端实现脚本(js)注入(只能在解释型语言的情况下发生)。
防止方法:比如为了防止cookie泄漏,可以设置cookie头httpOnly(cookie不能被js读取),secure(cookie只能通过https传输)。
CSRF(Cross Site Request Forgery)跨站请求伪造:利用后台后有规律的接口,并诱导你去点击,访问这个接口,而这个接口可能就是利用你的账户去做一些事情,比如购买商品,发送邮件等。
XSS(Cross-site-scripting):在客户端实现脚本(js)注入(只能在解释型语言的情况下发生)。
防止方法:比如为了防止cookie泄漏,可以设置cookie头httpOnly(cookie不能被js读取),secure(cookie只能通过https传输)。