这是我参与「第五届青训营 」伴学笔记创作活动的第 11 天。

本篇笔记是对今天青训营的录播课开发安全课程的归纳总结及个人感悟。

Web安全一窥

安全问题很常见，会危害到用户/公司/程序员自己

web安全的两个视角（hacker/开发者），因此课程也围绕攻击与防御两个方面展开

Cross-Site Scripting（XSS）

XSS原理：盲目信任用户的提交内容

XSS的一些特点：

• 通常难以从UI上感知（暗地执行脚本）
• 窃取用户信息（cookie/token）
• 绘制UI（弹窗等），诱骗用户点击/填写表单

Store XSS

• 恶意脚本被存在数据库中
• 访问页面→读数据 被攻击
• 危害最大，对全部用户可见

Reflected XSS

• 不涉及数据库
• 从URL上攻击

DOM-based XSS

• 不需要服务器参与
• 恶意攻击的发起+执行，全在浏览器完成

Mutation-based XSS

• 利用浏览器渲染DOM的特性
• 不同浏览器有区别

Cross-site request forgery（CSRF）

• 在用户不知情的前提下
• 利用用户权限（cookie）
• 构造指定HTTP全球，窃取或修改用户敏感信息