XSS 跨站请求攻击

攻击原理：举个栗子，就明白了。

• 在新浪博客写一篇文章，同时偷偷插入一段<script>
• 在攻击代码(插入的script)中，获取cookie，发送自己的服务器
• 发布博客，有人查看博客内容
• 会把查看者的cookie发送到攻击者的服务器
  如果cookie中有一些查看者的敏感信息（比如账号，密码），那么这些被攻击者获取之后，可能会被用于不良用途。

防御方法：

• 替换关键字，例如替换<为<，>为>
• 建议后端替换，毕竟服务器的性能肯定比浏览器要好。

XSRF 跨站请求伪造

攻击原理：举个栗子，就明白了。

• 你已登录一个购物网站，正在浏览商品
• 该网站付费接口是xxx.com/pay?id=100但是没有任何验证
• 然后你收到一封邮件，隐藏着<img src=xxx.com/pay?id=100>
• 你插件邮件的时候，就已经悄悄的付费购买了

防御方法：

• 增加验证流程，如输入指纹，密码，短袖验证码