- xss 跨脚本攻击 输入框 填写恶意代码脚本(alert(document.cookie)) 防御:内容编码或转义
- 阻止窃取cookie 设置cookie时,设置HttpOnly属性
- CSRf 跨站请求伪造 B网站伪造接口,发送A网站的请求 防御:添加token,header添加自定义属性,后台限制请求来源referer,使用post请求
- 点击劫持 iframe 包一层网站 防御:网站iframe判断, 网站服务器设置X-FRAME-OPTIONS:DENY
- iframe 加载三方网页出现问题 防御: 添加sandox属性
- 储存数据加密 sm 加密算法,对请求参数加密
- cdn劫持 cdn加载链接拦截 防御:浏览器SRI功能,cdn链接添加integrity属性
