XSS 和 CSRF
- XSS(Cross-site scripting):跨站脚本攻击 | 反射型 存储型
是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。
XSS: 通过客户端脚本语言(最常见如:JavaScript)
在一个论坛发帖中发布一段恶意的JavaScript代码就是脚本注入,如果这个代码内容有请求外部服务器,那么就叫做XSS!
解决方法:字符转义
- CSRF(Cross-site request forgery):跨站请求伪造
是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
冒充用户发起请求(在用户不知情的情况下),完成一些违背用户意愿的请求(如恶意发帖,删帖,改密码,发邮件等)