xss跨站脚本攻击
当一个页面可以显示用户提交的内容时,如果用户在内容中添加了可执行代码,如果后台没有进行处理,则当有其他的用户访问该页面时,会自动执行用户自己添加的代码。
一般在模板层都会对此类可执行代码进行转义。
csrf跨站请求伪造
在用户登录一个网站A后,如果未关闭网站B,但是网站B在页面内通过脚本发起了一个网站A的请求,那么网站A会自动携带cookie信息,向后台发起请求。如果未经过后台未进行csrf校验,那么这个请求会被认为是一个合法的请求。
主要问题是因为浏览的cookie机制。
校验策略:
- 校验refer字段。(但是爬虫可以仿造)
- 对敏感信息的访问使用token进行校验