前几天笔试的时候被问到这个问题,有点忘记了,今天特意看了一下书,顺便记录一下:
一、XSS
What?
XSS “跨站点脚本”,本质是一种“HTML注入”,用户数据被当做HTML代码的一部分来执行。
How?
①在cookie的header中添加httponly属性
②用户输入检查(服务端和客户端必须都做)
③输出检查(HtmlEncode,JavascriptEncode,encodeForCss,URLEncode)
二、CSRF
What?
CSRF “跨站点请求伪造”,本质是用户在不知情的情况下构造了网络请求,重要操作的所有参数都是可以被攻击者猜测到的。
How?
①添加验证码
②Referer Check监控
③使用Token
