XSS 和 CSRF 都是一种网络攻击
XSS 的英文名字叫 Cross-site Scripting,中文名叫跨站脚本,是一种网站应用程序的安全漏洞攻击
举一个简单的例子,在一个用户评论系统中,用户评论一条“JavaScript 脚本”,其他用户刷新到这条评论时浏览器自动运行这个脚本,这就造成了安全漏洞。
解决方法:当用户评论的“脚本”或 HTML 时,我们把可疑符号都换掉,把尖括号换成 < >
二、CSRF
CSRF 的英文名字叫做 Cross Site Request Forgery,中文名字叫跨站请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法
举一个简单的例子,在一个洪湖评论系统中,用户评论一张“不怀好意的图片”,它的 scr 指向网站的礼物接口,其他用户只要刷新到这张图片,浏览器就会模拟用户做一些奇奇怪怪的操作,这就造成了安全漏洞。
解决方法:服务端设置setCookie,把该随机数作为cookie或者session种入用户浏览器
三、参看文章
「@浪里淘沙的小法师」
若有收获,就点个赞吧
0 人点赞
