XSS 攻击
cross site script 跨站脚本攻击
会导致: 会话劫持, 钓鱼, 信息泄露 , 不会导致拒绝服务
- 可能引起: setTimeout , new Function, eval ,encodeURI(不会)
- 防止: cookie 设置httpOnly 严格的输入校验
CSRF 防范
CSRF (Cross-site request forgery)攻击,中文名是跨站请求伪造。引导你点击他们的网站, 然后用你的身份做坏事
- 验证referer, 也就是验证请求源
- CSRF token => JWT ( json web token ) 服务端生成和校验但不存储
- 自定义头信息
- 合理的session超时时间
- 受理重要请求, 要求客户端提供用户口令/动态密码/验证码
- 严格的输入校验和请求鉴权不能防范CSRF
JWT放入HTTP Header 中的 Authorization
输入不检验可能引发
- sql 注入
- 命令注入
- xss
- csrf(不会)
a 标签的
<a rel="noopener noreferrer"></a>
能防钓鱼攻击,避免referrer泄露
window.opener = null
但不能防会话劫持
window 跳转 和 a 标签跳转
window.location.href = '//bilibili.com' 前面不用加协议
img 的src 貌似在项目中也可以这样
<a href=""></a> // 这个貌似不行
Dos 拒绝服务
手绘 10 张图,把 CSRF 跨域攻击、JWT 跨域认证说得明明白白的
JSON
- JSON.parse()报错.
ftp telnet 管道消息 共享内存 socket PRC