CSRF
基本概念
CSRF,跨站请求伪造
攻击原理
1、网站存在接口漏洞
2、用户登录过该网站
防御措施
Token验证
Referer(页面来源)验证
隐藏令牌
XSS
基本概念
跨域脚本攻击是一种常见于web application中的计算机安全漏洞。
攻击原理
XSS通过在用户端注入恶意的可运行脚本,若服务器端对用户输入不进行处理,直接将用户输入输出到浏览器,则浏览器将会执行用户注入的脚本。
防御措施
HttpOnly防止劫取Cookie
输入检查(验证)
输出检查
处理富文体
防御DOM Based XSS:DOM Based XSS是从javascript中输出数据到HTML页面里。