XSS (Cross-Site Scripting) 跨站脚本攻击
是指攻击者尽一切办法把恶意的脚本代码注入到网页中 分为持久型和非持久型
- 持久型 攻击代码被写入数据库 如果访问量大的话 会使得大量访问页面的用户受到攻击 例如->在评论里写可执行的代码
- 非持久型 修改URL参数为恶意脚本代码
- 防御
- 转义字符 不要相信用户输入的 转义尖括号、引号、斜杠
- CSP 建立白名单
-
- 设置
HTTP Header中的Content-Security-Policy
- 设置
-
- 设置
meta标签的方式<meta http-equiv="Content-Security-Policy">
- 设置
CSRF (Cross-site request forgery)跨站请求伪造
利用用户登录态发起恶意请求 非用户本意
- 例如 图片的地址修改为评论的接口发送请求
- 防御
- get请求不对数据修改
- 禁止第三方网站访问cookie 禁止第三方请求接口
- 请求时附带验证信息 token/验证码
