目录
- XSS——跨站脚本
- 常见
- 解决
- CSRF ——跨站请求伪造
- 常见
- 解决
XSS——跨站脚本
当目标站点在渲染html的过程中,遇到陌生的脚本指令执行。
攻击者通过在网站注入恶意脚本,使之在用户的浏览器上运行,从而盗取用户的信息如 cookie 等。
常见
解决
对于用户提交的参数 或者输入的内容没有很好的过滤
黑名单过滤 白名单过滤(用户名密码)
输出转义:
cookie 设置为http-only
这样js脚本就不能读取到cookie
CSRF ——跨站请求伪造
本质是利用了 cookie 会在同源请求中携带发送给服务器的特点,以此来实现用户的冒充。
常见
解决
reffer token 短信验证
黑客和本地不同源
拦截器检查reffer 但是可以伪造
![[算法]计数排序和基数排序](https://img-blog.csdnimg.cn/6b35d818ace64ef09ea555075d06503f.png)
