xss攻击:(Cross Site Scripting,类同CSS,就改成XSS)
跨站脚本攻击:在script 里写入恶意脚本,获取用户信息,网页错误,恶意跳转
攻击条件:input 输入框,在这里写入script 恶意脚本。
防御措施:过滤script标签;对<>进行转码
csrf 攻击:(Cross-site request forgery)
跨站请求伪造:用户盗用你的身份,发起恶意请求。登录你的账号,诈骗他人。
攻击条件:浏览存在 csrf 漏洞的网站,或者诱导点击具有csrf 攻击性的网站。
防范措施:
1.添加token 验证,第一次登录时,服务器返回一个token,后面接口请求都要带token
2.登录前需要输入验证码