xss攻击:跨站脚本攻击
三种攻击方式:注入式攻击、反射型攻击、基于DOM的xss攻击
解决方式:过滤及转码;csp内容安全策略,通过头部或meta指定哪些脚本可以执行;httponly,只允许http请求携带cookie,不允许javascript获取cookie
csrf攻击:跨站请求伪造攻击
漏洞在于发送http请求会自动携带同源的cookie
所在在用户登录一个A网站后,再去浏览器一个恶意B网站的过程中,如果发起了对A网站的请求,即使是由B网站发起的,也会自动携带A网站的cookie,从而完成csrf攻击
解决方法:
不允许第三方网站携带cookie,头部samesite字段
验证发送请求的网站来源,头部origin字段
csrf token,在发送A网站的请求时,需要携带这个token,第三方网站无法携带这个token