一、XSS
跨站脚本攻击
- 正常用户 A 提交正常内容,显示在另一个用户 B 的网页上,没有问题。
- 恶意用户 H 提交恶意内容,显示在另一个用户 B 的网页上,对 B 的网页随意篡改。
解决办法
- 后台将可以符号转为html转义符
- 前端过滤输入,自己拼html
二、CSRF
跨站请求伪造
就是利用后台有规律的接口,攻击者在被攻击的网站页面嵌入这样的代码,当用户访问该网站的时候,会发起这条请求。
1.客户端防范:对于数据库的修改请求,全部使用POST提交,禁止使用GET请求。
2.服务器端防范:一般的做法是在表单里面添加一段隐藏的唯一的token(请求令牌)。