xss
xss是什么呢,说白了就是浏览器在不应该执行js的地方,被恶意插入了js代码,从而执行了一些本来不想执行的js代码。 既然是js代码,那就必须有路径进入 1,url 2,get post 请求 防范: 1, 从url获取的信息,前端进行对特殊字符进行转意和替换特殊字符,比如script 转换之后,浏览器就只会展示,但是不会执行这些脚本了。 2, 设置http-only
csrf
就是在用户登录的情况下,诱惑用户访问非法网站,然后自己带上cookie,去合理的请求非法信息。 防范: 1, 判断请求来源 2, 加一个额外的信息token,登录后的请求都带上token,隐藏一个token 3, 多长时间没有操作可以登出