一、XSS跨站请求攻击
1、
在某个网站写文章是偷偷插入一段<script>
,攻击代码中,获取cookie,发送自己的服务器
2、
发布博客,有人查看博客时会把查看者的cookie发送到攻击者的服务器
3、预防
前端替换关键字: 替换<为<;>为> (影响性能)
后端替换:
二、XSRF跨站请求伪造
登录一个购物网站正在浏览商品,该网站付费接口:xxx.com/pay?id=100
但是没有任何验证,然后收到一封邮件隐藏有<img src='xxx.com/pay?id=100'>
当你查看邮件时会被扣费
预防:增加验证流程(输入指纹、密码、短信验证码等)