web 安全
XSS
浏览器渲染整个 HTML 文档的过程中出现了不被预期的脚本指令执行
存储型 XSS
前端提交的数据未经处理存储到数据库,在读取返回到页面上时引发问题,比如执行 js 代码
反射型 XSS
发出请求时,XSS 代码作为输入提交到服务端,服务端解析后返回这段 XSS 代码,最后浏览器解析执行
DOM 型 XSS
防范
转译特殊字符
cookie,设置 Secure 只允许 https 协议传输,设置 HttpOnly,防止 js 脚本获取 cookie
CSP 内容安全策略
CSRF(跨站请求伪造)
一种诱骗受害者提交恶意请求的攻击,攻击者盗用了你的身份,以你的名义发送恶意请求,请求到达后端时,服务器将无法区分恶意请求和合法请求。CSRF 能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账等。
防范
同源检测,禁止外域的请求
CSRF token,服务端校验 token
Last updated