CSRF(Cross-site request forgery):跨站请求伪造
攻击者盗用了用户的身份,以用户的名义发送恶意请求,包括:以用户的名义发送邮件,发消息,盗取用户账号。
防止措施:
(1)检查报文中的Referer参数,确保请求发送自正确的网站。
(2)对于任何重复的请求,都需要重新验证用户的身份。
(3)创建一个唯一的令牌(Token),将其存在服务端的session中以及客户端的cookie中,对于任何请求都检查二者是否一致。
XSS(Cross Site Scripting):跨站脚本攻击
通过插入恶意脚本,实现对用户浏览器的控制。
防止措施:
(1)浏览器自身可以识别简单的XSS攻击字符串,从而阻塞简单的XSS攻击。
(2)消除XSS漏洞。
(3)拒绝点击非知名网站的链接。