sysuzhyupeng的博客

CSRF（Cross-site request forgery），中文名称：跨站请求伪造。你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号。造成的问题包括：个人隐私泄露以及财产安全。cookie劫持下面来看一下CSRF攻击的案例，第一种是cookie劫持。我们知道cookie用来实现会话，保存了用户的登录凭证

XSS跨站点脚本（Cross-site scripting，XSS）是一种允许攻击者在另一个用户的浏览器中执行恶意脚本的脚本注入式攻击。 攻击者并不直接锁定受害者。而是利用一个受害者可能会访问的存在漏洞的网站，通过这个网站间接把恶意代码呈递给受害者。对于受害者的浏览器而言，这些恶意代码看上去就是网站正常的一部分，而网站也就无意中成了攻击者的帮凶。反射型XSS发送请求时，XSS代码出现在URL中(反

数字摘要算法数字摘要也称为消息摘要，它是一个唯一对应一个消息或文本的固定长度的值，它由一个单向Hash函数对消息进行计算而产生。因此，如果要验证消息是否被改变，只能对这个消息进行Hash，把新摘要和旧摘要进行对比。不同的明文摘要成密文，其结果总是不同的(相同的)，而相同的明文摘要结果必定一致。所以摘要字符串相当于验证明文的指纹了。 MD5即Message Digest Algorithm 5，是数

同源策略同源策略(Same Origin Policy)是浏览器最核心也是最基本的安全功能。浏览器的同源策略，限制了来自其他源的document或脚本，读写当前document的属性。如果没有同源策略，来自A.com的脚本，可以在B.com未曾加载此脚本时，也可以在浏览器显示中随意涂改B.com的页面，这将带来严重的安全问题。判断脚本的源决定是否同源的因素有：host，子域名，端口，协议。 在判断