基础——安全
CSRF
跨站请求伪造 Cross-site Request Forgery
1)原理
CSRF攻击利用网站对于用户网页浏览器的信任,挟持用户当前已登陆的Web应用程序, 去执行并非用户本意的操作。
①浏览、登录信任网站A
②A给用户浏览器下发cookie
③用户访问网站B
④通过引诱链接使用户点击,访问A
⑤浏览器带着cookie访问A,以此达到模拟用户操作的目的
2)防御措施
增加验证流程,如输入指纹、密码、短信验证信息
Token验证
HTTP Referer 验证
隐藏令牌
XSS
跨域脚本攻击(cross-site scripting)
1)原理
指攻击者利用网站程序对用户的输入输出过滤不足,导致恶意代码在页面执行,
对受害者造成cookie资料窃取、会话劫持、钓鱼欺骗等危害。
2)防御措施
完善防御体系
转义HTML
…
①前端替换关键字,例如替换 < 为 < > 为 >
②后端替换
(预防主要由后端做,前端协助预防)