同源策略
同源:两个页面(接口)的协议、域名、端口号都相同
同源策略就是浏览器的一个安全策略,它阻止了不同源之间进行的数据交互,不然其它网站的js脚本如果可以控制本网站就麻烦了。不同源的客户端脚本在没有明确授权的情况下,不能读写对方资源。同源策略其实就是为了防止csrf的。
但是嵌入到页面中的<script src="..."></script>,<img>,<link>,<iframe>是没有限制的,会导致csrf攻击
XSS
XSS(cross site scripting),跨站脚本攻击,因缩写与css冲突,所以改作xss。
恶意攻击者往 Web 页面里嵌入恶意的客户端脚本,攻击者对客户端网页注入的恶意脚本一般包括 JavaScript,有时也会包含 HTML 和 Flash。当用户浏览此网页时,脚本就会在用户的浏览器上执行,进而达到攻击者的目的。比如获取用户的 Cookie、导航到恶意网站、携带木马等。
大部分的 XSS 漏洞都是由于没有处理好用户的输入,导致恶意脚本在浏览器中执行。任何输入提交数据的地方都有可能存在 XSS。
xss分为反射型、持久型、DOM型
CSRF
CSRF(Cross-site request forgery),跨站请求伪造,也被称为“One Click Attack”,也可以缩写为XSRF。它一种劫持受信任用户向服务器发送非预期请求的攻击方式。
通常情况下,CSRF 攻击是攻击者借助受害者的 Cookie 骗取服务器的信任ÿ