- XSS, 跨站腳本攻擊 (Cross Site Scripting, 避免與CSS混淆)
設置HttpOnly, 使js無法讀取cookie
對提交內容進行驗證, 防止注入敏感信息
cookie和其它驗證綁定, 避免cookie泄露的危險
- CSRF, 跨站請求僞造 (Cross Site Request Forgery)
請求時附帶 token
請求的header附帶 token
設置HttpOnly, 使js無法讀取cookie
對提交內容進行驗證, 防止注入敏感信息
cookie和其它驗證綁定, 避免cookie泄露的危險
請求時附帶 token
請求的header附帶 token
https://view.officeapps.live.com/op/view.aspx?src=你地址