前端可能遇到的两个攻击, 很久之前有和别人讨论过这个问题, 但是时间太久, 又没有适当的记录, 还是淡化了.

更新


[2019-3-12]

Added

  • 完善CSRF特性内容

记录


CSRF

跨站请求伪造

特性

  • 登录网站A并生成cookie
  • 在不登出该网站的情况下, 访问危险网站B
  • 危险站点B携带用户cookie发送请求至网站A, 执行恶意操作

预防

  • Token验证

XSS

跨站脚本

特性

不对server端造成任何伤害. 通过站内交互途径, 比如发布评论, 提交含有js内容的文本. 如果server端没有过滤掉这些文本, 作为内容发布到了页面上, 其他用户访问这个页面的时候就会运行这些脚本

预防

  • 输入框转义过滤

参考