xss攻击和csrf攻击

1.xss攻击

跨站脚本攻击（Cross Site Scripting），是说攻击者通过注入恶意的脚本，在用户浏览网页的时候进行攻击，比如获取cookie，或者其他用户身份信息。

原理：

HTML是一种超文本标记语言，通过将一些字符特殊地对待来区别文本和标记，例如，小于符号（<）被看作是HTML标签的开始，<title>与</title>之间的字符是页面的标题等等。当动态页面中插入的内容含有这些特殊字符（如<）时，用户浏览器会将其误认为是插入了HTML标签，当这些HTML标签引入了一段JavaScript脚本时，这些脚本程序就将会在用户浏览器中执行。所以，当这些特殊字符不能被动态页面检查或检查出现失误时，就将会产生XSS漏洞。

可以分为:

存储型：攻击者输入一些数据并且存储到了数据库中，其他浏览者看到的时候进行攻击

反射型：不存储在数据库中，往往表现为将攻击代 码放在url地址的请求参数中

DOM型：一种特殊的反射型XSS。由客户端的脚本程序可以动态地检查和修改页面内容，而不依赖于服务器端的数据。一般从url中提取数据中含xss，未过滤并在本地执行dom的渲染操作，输入来源多是document.location、document.URL、document.URLUnencoded、document.referrer、window.location等，而触发api多是document.write()、document.writeln()、document.innerHtml、eval()、window.execScript()、window.setInterval()、window.setTimeout()等。

解决方法：

• 使用innerHTML（原生）、v-html（vue）、dangerouslySetInnerHTML（react）等直接渲染html的函数渲染请求数据时，需要先把字符串转义：

       1)、把 > 替换成 >
       2)、把 < 替换成 <
       3)、把 & 替换成 &amp``;
       4)、把 " 替换成 &quot``;
       5)、把 ' 替换成 &#39``;

• 对用户的输入进行检查，进行特殊字符过滤

       1)、过滤掉特殊的HTML标签，例如<script>、<iframe>等；
       2)、过滤掉Javascript事件标签，例如"onclick"、"onfocus"等；


• cookie设置httpOnly属性

2.csrf攻击

跨站点请求伪造（Cross—Site Request Forgery），攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。

CSRF攻击攻击原理及过程如下：

1. 用户C打开浏览器，访问受信任网站A，输入用户名和密码请求登录网站A；
2. 在用户信息通过验证后，网站A产生Cookie信息并返回给浏览器，此时用户登录网站A成功，可以正常发送请求到网站A；
3. 用户未退出网站A之前，在同一浏览器中，打开一个TAB页访问网站B；
4. 网站B接收到用户请求后，返回一些攻击性代码，并发出一个请求要求访问第三方站点A；
5. 浏览器在接收到这些攻击性代码后，根据网站B的请求，在用户不知情的情况下携带Cookie信息，向网站A发出请求。网站A并不知道该请求其实是由B发起的，所以会根据用户C的Cookie信息以C的权限处理该请求，导致来自网站B的恶意代码被执行。