cookie是存储在浏览器内的一段用户信息,由于受制同源策略影响,不是同源的域名不能获取非同源的cookie
注意:在另一个非同源页面里执行某个非同源域名下的可以跨域的请求,会带上该请求域名的cookie,所以对于一般重要的请求,设置不能跨域或者设置跨域的安全域名
XSS攻击(重点是像浏览器插入脚本,从而破坏原有的行为或者盗取数据):
1)钓鱼式反射攻击:通过email,评论区内容,购买广告嵌入等方式在原有网站上嵌入恶意链接,用户点击会盗取该页面的cookie信息----设置cookie HttpOnly属性,只能被服务端读取,不能被js获取
2)存储型攻击:通过来输入框内输入攻击js代码,保存到服务端,从而达到其他用户打开该网页,展示输入内容的时候执行攻击代码----对用户输入进行转义,对服务端输出进行转义
3)基于DOM的攻击:通过email,评论区内容,购买广告嵌入等方式在原有网站上嵌入脚本修改或者破坏原有DOM的行为
CSRF攻击(通过在攻击网站上执行某个用户信息已有可以跨域的请求,从而冒充用户进行相关操作):
由于cookie同源策略的影响,CSRF攻击不用担心是否可以获取cookie,只关心执行某个请求(执行该请求会带上用户原有域名下的cookie)来冒充用户修改服务端数据---设置验证码验证;服务端设置安全域名/检查发送方域名;设置token验证。
