安全
CSRF
基本概念和缩写
cross-site request forgery
跨站请求伪造
攻击原理
在B网站引诱用户访问A网站(用户之前登陆过A网站,浏览器cookie缓存了身份验证信息),调用A网站的接口攻击A网站
某个接口存在漏洞
用户曾经登录过
eg: 新浪微博莫名增加关注和粉丝
防御措施
1.token验证:登陆成功后服务器下发token令牌存到用户本地,再次访问时要主动发送token,浏览器只能主动发cookie,做不到主动发token
2.referer验证:判断页面来源是否自己站点的页面,不是不执行请求
3.隐藏令牌:令牌放在http header头中,而不是链接中
XSS
基本概念和缩写
cross-site scripting
跨域脚本攻击
攻击原理

不需要登陆
页面注入js脚本
防御措施
令xss无法执行
两者区别
XSS 向页面注入JS允许,JS函数体做事
CSRF 利用本身漏洞,自动执行那些接口,依赖登录网站