XSS & CSRF

xss：跨站脚本攻击：注入一些非法的脚本

csrf：冒充身份

XSS

• 反射型

/welcome：res.send(req.query.type) 输入什么就输出什么（httpOnly:false，但不是解决方案）

比如：?<script>alert(document.cookie)</script>

反射型：一定要用户先触发什么操作

原因：没有对内容进行过滤，直接返回到页面上。

对内容进行过滤

一般是服务器写得不安全

• dom-base型

不基于后端，dom-based：修改了某个标签的属性或者往div里塞了东西

• 存储型

持久性：恶意脚本已存储进数据库

核心解决方法：转义和过滤，过滤需要过滤的东西

CSRF

转账：访问了一些恶意页面，钱丢了

转账接口

跨站请求伪造

原理如下：

demo如下：cookie @todo

同源指的都是ajax，form img script link 都是不受跨域限制的。

防御措施：

添加验证码：每次校验验证码对不对

转账页面每次都会生成一个新的验证码，然后和你请求过来的进行比对。

前提：钓鱼网站是拿不到验证码的。钓鱼网站是拿不到正常网站（3000端口）的cookie，也就没法请求验证码。只能是伪造发请求。

判断请求的来源

req.headers.referer 。但是这个可伪造

token

服务器xxx模块-加密-生成token，然后每次请求携带上token，比对一下。用户是无知觉的。

不用输验证码，不用判断来源referer