常见的攻击手段——XSS，CSRF

XSS（跨站脚本攻击）

跨站脚本攻击指的是攻击者在网页中嵌入恶意脚本程序，当用户打开该网页时，脚本程序便开始在客户端的浏览器执行以盗取客户端cookie，盗取用户名密码，下载执行病毒木马程序甚至是获取客户端admin权限等。

 

如何防御XSS跨站攻击（进行转义）

XSS之所以会发生，是因为用户输入的数据变成了代码。因此，我们需要对用户输入的数据进行Html转义处理，将其中的尖括号，单引号，引号之类的特殊字符进行转义编码。

防御跨站脚本攻击方案

如今很多开源的开发框架本身默认就提供HTML代码转义的功能，如流行的jstl、Struts等等，不需要开发人员再进行过多的开发。

 

CSRF（跨站请求伪造）

是一种对网站的恶意利用，XSS利用的是站点内的信任用户，而CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站。你可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等等，甚至盗取你的账号。

CSRF的攻击流程

防御CSRF攻击的几种方式：

1，验证码效验

2，Token效验

3，cookie设置为HttpOnly

CSRF攻击很大程度上是利用了浏览器的cookie，为了防止站内的XSS漏洞盗取cookie，需要在cookie中设置"HttpOnly"属性，这样通过程序(如JavascriptS脚本、Applet等)就无法读取到cookie信息，避免了攻击者伪造cookie的情况出现。

什么是HttpOnly:

可以通过cookie设置httpOnly属性，那么通过js脚本将无法读取cookie信息，这样能有效的防止XSS漏洞攻击。

4，通过Referer识别

根据HTTP协议，在HTTP头中有一个字段叫Referer，它记录了该HTTP请求的来源地址。在通常情况下，访问一个安全受限页面的请求都来自于同一个网站。因此，要防御CSRF攻击，银行网站只需要对于每一个转账请求验证其Referer值，如果是以www.xxx.com域名开头的地址，则说明该请求是来自银行网站自己的请求，是合法的。如果Referer是其他网站的话，就有可能是CSRF攻击，则拒绝该请求。