基础//安全

基础——安全

CSRF

跨站请求伪造 Cross-site Request Forgery

1）原理

CSRF攻击利用网站对于用户网页浏览器的信任，挟持用户当前已登陆的Web应用程序， 去执行并非用户本意的操作。

①浏览、登录信任网站A
②A给用户浏览器下发cookie
③用户访问网站B
④通过引诱链接使用户点击，访问A
⑤浏览器带着cookie访问A，以此达到模拟用户操作的目的

2）防御措施

增加验证流程，如输入指纹、密码、短信验证信息
Token验证
HTTP Referer 验证
隐藏令牌

XSS

跨域脚本攻击（cross-site scripting）

1）原理

指攻击者利用网站程序对用户的输入输出过滤不足，导致恶意代码在页面执行，
对受害者造成cookie资料窃取、会话劫持、钓鱼欺骗等危害。

2）防御措施

完善防御体系
转义HTML
…
①前端替换关键字，例如替换 < 为 < > 为 >
②后端替换
（预防主要由后端做，前端协助预防）