安全

XSS跨站请求攻击

• 一个博客网站，我发表一篇博客，其中嵌入<script>脚本
• 脚本内容：获取cookie， 发送到我的服务器（服务器配合跨域）
• 发布这篇博客，有人查看它，我轻松收割访问者的cookie

预防

• 替换特殊字符，如 < 变为 &lt; > 变为 &gt;
• 例如<script> 变为 &lt;script&gt; 会直接显示<script>因为&lt; &gt;在html中就是作为<>,所以不会作为脚本执行
• 前端替换，后端也替换，都做总不会出错
• 使用自己替换比较麻烦可以引用 xss插件 使用参考

<script>alert(document.cookie);</script> 
//页面显示<script>alert(document.cookie);</script>

XSRF跨站请求伪造