XSS
跨站脚本攻击,攻击者将一段可执行的恶意代码注入到网页中,如连接、输入框,分为持久性的和临时性的,持久性的是恶意代码注入到数据库里,造成持久的攻击,临时性的是仅当前被攻击页面上生效
防范:对网页上获取的内容,做转义处理,比如转成字符串
CSRF
跨站请求伪造,构造一个钓鱼网站,利用站点对浏览器的信任,从而欺骗用户,发起请求进行恶意操作。
用户在浏览器登陆后,站点是信任浏览器的,但是浏览器没法知道请求是否是用户自愿发起的,站点信任后,所发起的请求浏览器都是信任的。
那么用户是已登录的情况下,钓鱼站点中发起跨域请求,跨域标签或者form表单,就会把用户的认证信息cookies带上,从而达到伪造用户身份的目的。
防范:1,服务端校验Referer,但是某些浏览器可以修改Referer 2,随机token,每访问页面就生成一个token,页面中的请求把这个token带上,服务端对token进行校验。注意这个token不能储存在cookie中
CORB
是一种判断是否要在跨站资源数据到达页面之前进行阻断的算法,降低了敏感数据暴露的风险。
当跨站请求回来的MIME type类型同跨域标签应有的MIME类型不匹配时,浏览器会启动CORB保护数据不被泄露,被保护的数据类型只有html xml json。
MIME 互联网电子邮件扩展,是一个互联网标准,扩展了电子邮件标准,使其可以支持更多的消息类型。常见的类型:text/html text/plain image/png application/javascript,用于表示返回的消息属于哪一种类型。格式为type/subType。在HTTP请求的响应头中,以Content-Type:application/javascript:charset=UTF-8的形式出现,MIME type是Content-Type值的一部分。
