1、XSS(跨网站指令码:Cross-site Scripting),是代码注入的一种。通过修改HTML节点或者执行JS代码来攻击网站。
防御的办法就是转义输入输出的内容,对引号、尖括号、斜杠进行转义
2、CSP(内容安全策略:Content Security Policy),用于检测并削弱某些特定类型的攻击。本质上是建立白名单,规定了浏览器只能执行特定来源的代码。
可以通过HTTP header中的content-securoty-policy来开启CSP
3、CSRF(跨网站请求伪造:Cross-site Request Forgery ),利用用户的登录状态发起恶意请求。
防范CSRF可以:
1、get请求不对数据进行修改
2、请求时附带验证码或者token
3、不让第三方网站访问到用户cookie,可以对cookie设置SameSite属性,该属性设置cookie不随着跨域请求发送
4、不让第三方网站去请求接口,可以通过验证referer来判断请求是否为第三方网站
网友评论