http的Get与Post方式区别
- Get
- 通过URL提交明文数据,URL作为http头部文件的一部分发出,参数在发送头部可见
- 浏览器能够缓存提交数据,历史记录能够获取这些数据
- 长度有限制,根据browser不同,限制不同
- 主要是向服务器发索取数据用于客户端展示的请求,一般不做提交对服务器的内容修改请求
- Post
- 将敏感的提交数据放在http包的包体中,保证安全不公开
- 在浏览器中不保存提交的数据
- 长度无限制
- 主要是用于提交增删改的请求,提交的敏感内容应该包含在http包中
CSRF(Cross-Site Request Forgery)跨站请求伪造与XSS(Cross Site Script)区别
- CSRF
- 恶意网站获取到cookie中的sessionID,欺骗用户发送http请求,再重新伪造可信用户身份到信任网站发出恶意请求
- 防范办法:使用post发送请求,提交信息使用必要的验证码,server从第一次会话后给用户返回的页面中的表单进行随机性信息植入
- XSS
- 利用合法用户登录ing状态下获取信息
- 基于js注入,将想要完成的动作,通过input域插入到原页面的html中,执行恶意js,因此叫跨站脚本注入攻击
