1.前端安全的分类
- CSRF
- XSS
2.CSRF
基本概念和缩写:跨站请求伪造,英文名Cross-site request forgery,缩写CSRF。
攻击原理:
不可缺少的两大因素:
1.用户一定在注册网站登陆过;
2.网站的某一接口有漏洞(引诱链接会自动携带cookie,不会自动携带Token)。
防御措施:
- Token验证(访问网站后,服务器将Token存储在本地,需手动上传);
- Referer验证(referer指的是页面来源,服务器判断此页面是否为本站点的,是则执行,否则拦截);
- 隐藏令牌(和Token相似,他是隐藏在head头中,而不是放在连接上,会做的比较隐蔽)。
3.XSS
基本概念和缩写:跨站脚本攻击,英文名cross-site scripting,缩写XSS。
攻击原理:http://www.imooc.com/learn/812
防御措施:http://www.imooc.com/learn/812
4.CSRF和XSS区别
攻击原理区别:
- CSRF是利用你本身的漏洞,自动执行你本身的接口,依赖于用户需要登录你的网站。
- XSS不需要做任何登录认证,核心原理是向你的页面注入脚本js,js里包含他想执行的操作(通过合法的评论区注入不可执行的JS);
防御措施区别:XSS核心宗旨是让你插入的JS不可执行。
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。