XSS

XSS，Cross site script，跨站脚本攻击。

原理

通过各种手段，向用户页面注入恶意脚本，获取用户信息，并上传到攻击者的恶意服务器上。

案例

1.

2.

攻击手段

1.存储型XSS
将脚本存储到有漏洞的服务器期中，当用户访问到相关内容时，会一并访问到恶意脚本，恶意脚本执行，获取用户数据，并发送到攻击者的服务器中

2.反射型XSS

防御手段

1.开启cookie的HttpOnly：

2.服务器端过滤或转码

3.开启

CSRF

原理

攻击手段

防御手段

1.开启cookie的samesite

2.使用referer和origin字段，服务器进行判断

3.使用CSRF Token验证客户端是否可信