CSRF :跨站请求伪造,可以理解为攻击者盗用了用户的身份,以用户的名义发送了恶意请求,比如用户登录一个网站后,立即在 tab 页面访问量攻击者用来制造攻击的网站,这个网站要求访问刚刚登录的网站,并发送了一个恶意请求,这时候 CSRF 就产生, 比如这个制造攻击的网站使用一张图片,但是这种图片的连接却可以修改数据库的,这时候攻击者就可以以用户的名义操作数据库,防御的方式的话:使用验证码,检查https 头部的 refer,使用token
XSS:跨站脚本攻击,是说攻击者通过注入恶意的脚本,在用户浏览器网页的时候进行攻击,比如获取 cookie 或者其他用户身份信息,可以分为储存性和反射性,存储型是攻击者输入一些数据并且存在数据库中,其他浏览者看到的时候进行攻击,反射型的话不储存在数据库中,往往表现为攻击代码放在 url 地址的请求参数中,防御的话为 cookie 设置 httpOnly 属性,对用户的输入进行检查,进行特殊字符过滤
