一、XSS攻击
XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。
1.1 原理
攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行
,从而达到恶意攻击用户的目的。
如盗取用户 cookie、破坏页面结构、重定向到其他网站等。
1.2 防御
预防 XSS 的核心是必须对输入的数据做过滤处理。
二、CSRF攻击
CSRF:Cross-Site Request Forgery(跨站请求伪造),
2.1 原理
可以理解为攻击者盗用
了你的身份,以你的名义发送恶意请求。
比如:以你名义发送邮件、发消息、购买商品,虚拟货币转账等。
2.2 防御
- 验证请求来源地址;
- 关键操作添加验证码;
- 在请求地址添加 token 并验证。