一、xss攻击

1.cross site scripting跨站脚本攻击

2.恶意注入脚本当作js代码执行:

(1)哪里可以执行js代码:
a. script标签
b.标签内联回调事件中
(2)危害
获取用户信息进行恶意操作

3.攻击类型

(1)dom攻击

用户利用漏洞输入恶意代码,获取用户信息,进行恶意操作

(2)反射攻击

注入恶意代码,将恶意代码作为参数发送给客户端,客户端再把恶意代码返回给用户端执行

(3)存储攻击

将恶意代码发送给客户端保存起来,恶意代码返回给其他请求的用户进行攻击

4.彻底解决方法

前后端都进行安全检查,过滤敏感字符。

二、XSRF 跨站请求攻击

1.场景:

比如点开一个网页,里面有个img标签,src属性为发往另一个网站的请求。

2.解决方法

(1)使用post请求,跨域需要server端支持

(2)增加验证,短信、密码验证。