web前端 之 安全类
CSRF
1、基本概念和缩写
通常称为跨站请求伪造
2、攻击原理
用户在注册网站A登陆过,在网站B引诱点击到A才能产生攻击,不然他会提示你注册
3、防御措施
1、Token验证
注册成功或者访问成功后服务器向本地存一个token,引诱点击的时候会自动携带cookie,但是不会携带token,所以可以用token来做验证
2、Referer验证
页面来源,referer判断页面来源是来自哪个站点的动作如果是通过,如果不是,一律拦截
3、隐藏令牌
隐藏在http head头上
xss
添加链接描述
1、基本概念
跨域脚本攻击
2、攻击原理
XSS反射型攻击
XSS存储型攻击
3、防御原理
插入的JS不可执行
(1)、编码
(2)、过滤
(3)、校正
XSS与CF2的区别
XSS:向你页面注入js执行,js中做它想做的事情
CF2:利用本身的漏洞执行你自己的接口,CF2依赖于登录网站