web 安全

XSS

浏览器渲染整个 HTML 文档的过程中出现了不被预期的脚本指令执行

存储型 XSS

前端提交的数据未经处理存储到数据库,在读取返回到页面上时引发问题,比如执行 js 代码

反射型 XSS

发出请求时,XSS 代码作为输入提交到服务端,服务端解析后返回这段 XSS 代码,最后浏览器解析执行

DOM 型 XSS

防范

  1. 转译特殊字符

  2. cookie,设置 Secure 只允许 https 协议传输,设置 HttpOnly,防止 js 脚本获取 cookie

  3. CSP 内容安全策略

CSRF(跨站请求伪造)

一种诱骗受害者提交恶意请求的攻击,攻击者盗用了你的身份,以你的名义发送恶意请求,请求到达后端时,服务器将无法区分恶意请求和合法请求。CSRF 能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账等。

防范

  1. 同源检测,禁止外域的请求

  2. CSRF token,服务端校验 token