CSRF
基本概念和缩写: 通常称为跨站请求伪造,英文名Cross-site request forgery 缩写CSRF
攻击原理
防御措施
- 在请求地址中添加 Token 并验证
- 验证 HTTP Referer 字段
- 隐藏令牌
XSS
基本概念和缩写: 通常称为跨站脚本攻击,英文名Cross-site scripting
通常是带有页面可解析内容的数据未经处理直接插入到页面上解析造成的。
XSS根据攻击脚本的引入位置来区分为:
- 存储型XSS
- 反射型XSS
- DOM XSS
防止XSS方法:
- 服务端可以做以下动作:
1. 在Cookie中有个属性时HTTP,设置为True,不允许JavaScript读取cookies,但该属性只适配部分浏览器。对于HTTPS可以设置Secure
2. 处理富文本框输入内容,进行XSS过滤,过滤类似script、iframe、form等标签以及转义存储 - 客户端可以做以下动作:
1. 输入检查,和服务端一样都要做。
2. 输出检查,编码转义,如果使用jquery,就是那些append、html、before、after等,插入DOM的方法需要注意。现今大部分的MV*框架在模板(view层)会自动处理XSS问题。