XSS

跨站脚本攻击
向页面注入脚本

危害

获取cookie

  1. <p>sks <img src="null" alt="" onerror="alert(document.cookie)"></p>
  1. 获取页面数据
  2. 获取cookie
  3. 劫持前端逻辑
  4. 发送请求
  5. 偷取网站任意数据
  6. 偷取用户资料
  7. 偷取用户密码和登陆态
  8. 欺骗用户

防御

内容转义
将html内容进行转义,最终内容是展示,不会作为脚本执行

  1. var escapeMap = {
  2.     '"': '&quot;',
  3.     '&': '&amp;',
  4.     '\'': '&#x27;',
  5.     '<': '&lt;',
  6.     '>': '&gt;',
  7.     '`': '&#x60;'
  8. };

XSRF

跨站请求伪造
image.png

  1. 用户登录A网站
  2. A网站确认身份(给客户端cookie)
  3. B网站页面向A网站发起请求(带上A网站身份)

防御

增加token机制
使用post接口
增加验证码等的验证