攻击
XSS(Cross-Site-Script):跨站脚本
来源:开发者对用户的盲目信赖,对用户的提交不进行检验过滤
- Store XSS:恶意脚本存在数据库,访问页面则读数据进而被攻击
- Reflected XSS:不涉及数据库,攻击url,例如在url的param提交
<script>
脚本
CSRF(Cross-Site request forgery):跨站请求伪造漏洞
来源:在用户不知情前提下,使用用户cookie伪造用户发起http请求
Injection:注入
来源:恶意注入参数,例如请求字段直接被读取并拼接使用
防御
1、永远不信任用户提交内容
2、使用现成工具例如前端的google-closure-library或服务端的DomPurify
【作此随笔,未完待续】