XSS跨站腳本攻擊(Cross Site Scripting)
原理:
採用惡意script腳本注入,類似於sql注入
解決方案:
對輸入參數進行校驗,處理可疑字符
CSRF(Cross Site Request Forgery, 跨站域請求僞造)
登錄信任站點A,產生了cookie信息
在cookie沒有失效時進入危險站點B,危險B站點有一個圖片標籤(<img src=http://B.com/csrf?xx=11 />)則會302重定向請求站點A,這時瀏覽器會攜帶A站點的Cookie達到僞造訪問的效果
解決方案:
1.請求頭增加Referer頭信息,該信息會標示是從哪個站點跳轉的,服務端可以對其進行校驗,發現Referer顯示的是B站點,則攔截
2.增加token校驗字段,在後端對token進行校驗;token可以在用戶登錄後產生響應給客戶端並存放在session中,每次訪問做校驗