XSS 中文名: 跨站脚本攻击
在客户端插入一段获取用户 cookie 的 js 代码, 拿到用户 cookie 之后就能做相应的操作!
防御方法
HttpOnly 防止劫取 Cookie
用户的输入检查
服务端的输出检查
CSRF 中文名: 跨站请求伪造
攻击者构造出一个后端请求地址,诱导用户点击或者通过某些途径自动发送请求。如果用户是登录状态下的话,后端就以为是用户在操作,从而进行相应的逻辑。
防御方法
使用验证码来验证,确定是用户真人在请求
验证 http 头中 referer
添加 token 验证
写个自己复习用的