- CSRF
- XSS
基本概念和缩写
攻击原理
防御措施
CSRF
CSRF 跨站请求伪造 cross-site request forgery
登录受信任网站A,并在本地生成Cookie。
在不登出A的情况下,访问危险网站B。
防御措施
1.用户一定在注册网站登陆了
2.网站接口存在漏洞
- Token验证
token是注册成功以后,服务器会自动向本地存储一个token,那么在访问一个接口的时候,如果没有带token的话,就不能通过验证。如果点了引诱连接,这个连接会自动携带cookie,但是不会携带token,所以就避免了攻击。 - Referer验证
页面来源。如果页面来源不是我这个站点下面的话,就拦截。 - 隐藏令牌
隐藏在http head头中,和token很像。不会放在连接url中。
XSS
cross-site scripting 跨域脚本攻击
攻击原理与防御措施:http://www.imooc.com/learn/812
