XSS跨站请求攻击

场景：

一个博客网站，我发表一篇博客，其中嵌入<script></script>脚本.
脚本内容：获取cookie，发送到我的服务器（服务端配合跨域）.
有人查看这篇博客，我轻松收割访问者的cookie

XSS预防

• 替换特殊字符，如< 变成 &lt ; >变成 &gt ;
• <script>变成 & ltscript &gt；直接显示，而不会作为脚本执行
• 前端要做替换，后端也要做替换，双重保证。

CSRF跨站请求伪造

场景：

你正在购物，看中了某个商品，商品id是 100.
付费接口是 xxx.com/pay?id=100,但没有任何验证.
我是攻击者，看中一个商品，id是200.
我向你发送一个电子邮件，标题很吸引人.
邮件正文隐藏着<img src="xxx.com/pay?id=200"/>.
你一查看邮件，就买了id为 200的商品.

CSRF预防

• 使用post接口
• 增加验证，如密码，短信验证码，指纹等