XSS攻击原理
1.XSS反射性攻击
恶意代码并没有保存在目标网站中,通过引诱用户点击一个链接到目标网站的恶意链接来实施攻击
2.XSS存储型攻击
恶意代码被保存到目标网站的服务器中,这种攻击具有较强的稳定性和持久性
解决方法:url过滤
提交的<>"" '' %;()&+等转义,严格控制输出
CRSF
只劫持cookie不劫持token,用户点击链接,浏览器不会自动带上cookie,后端的cookie验证。CSRF跨站请求伪造,CSRF指的得是攻击者盗用你的身份,以你的名义发送恶意的请求
解决:添加refer改用token
网友评论