安全

一、CSRF

CSRF（Cross-site request forgery），跨站请求伪造

CSRF攻击理解：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账…造成的问题包括：个人隐私泄露以及财产安全。

攻击原理

来源：博客https://www.cnblogs.com

　简化图

　从上图可以看出，要完成一次CSRF攻击，受害者必须依次完成两个步骤：
　　1.登录受信任网站A，并在本地生成Cookie。
　　2.在不登出A的情况下，访问危险网站B，A存在漏洞。

防御措施

• Token验证
• Referer验证
• 隐藏令牌

二、XSS

XSS（cross-site scripting）跨域脚本攻击
Web攻击中最常见的攻击方法之一，指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。

实施XSS攻击需要具备两个条件：
1、需要向web页面注入恶意代码；
2、这些恶意代码能够被浏览器成功的执行

攻击原理及防御措施（待完善）
编码、过滤、校正
防护：
在代码里对用户输入的地方和变量都需要仔细检查长度和对一些特殊字符如“<”,">"";"过滤；
任何内容写到页面之前必须进行编码，避免泄漏htmltag。