CSRF:跨站点请求伪造

用户先登录信任的网站A,同时访问了危险网站B,B网站利用用户的cookie在用户不知情的情况下请求A网站,从而窃取或危害A网站。
解决方案:

  1. token:每次访问都携带token,网站通过token来判断访问是否合法
  2. referer验证

  3. 隐藏令牌,和token类似,令牌隐藏在http首部中

    XSS:跨站脚本攻击

    恶意用户A和小白用户B,A在博客或BS论坛上写入js脚本,网站不对用户写入内容做处理直接存储,B在访问网站是,A的评论中带有的js脚本返回给B并在B不知情的情况下执行了一些非法操作
    解决方案:

  4. httpOnly:防止B用户的cookie被JS脚本获取

  5. 特殊字符转义处理
  6. 定时刷新session

    书评:

    书里面的内容很基础,而且有些内容过时了,比如说spdy