json漏洞
当使用get来获取json时,需要登录或者授权才能访问,存在一个微妙的漏洞。
当恶意站点使用<script> 来提交一个请求来获取相同的数据,由于还处在登录状态,恶意站点就可以请求json数据;
1,确保每次post请求中返回json格式的响应;
2,使用非法的json表达式,然后在用客户端逻辑换成真实数据;[“)]}‘,\n"
因为恶意者直接请求地址无法通过验证,苏魁加上上面的处理,恶意js代码无法执行。
XSRF cross-Site Request Fogery跨站请求伪造
跨网站请求伪造是一种恶意的攻击,借以代表经过身份验证的用户执行未经授权的命令。
用户登录了aaa.com,
访问别的页面bbb.com 里面有
便执行了上述代码,导致一些扣款之类的操作
页面加token 然后拿出来和服务端取得的cookie或者session做对比,这个 token 将被用来确保经过验证的用户是实际发出请求至应用程序的用户:
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用
。你还可以使用@
来通知其他用户。