一、XSS攻击

1. 原理

向网站注入恶意脚本

2. 攻击类型

• 反射型：在客户端向服务器发送请求时注入恶意代码
• 存储型：向服务端提交恶意代码，并将其存储到数据库中
• 文档型：在数据传递过程中截取网络数据包，修改DOM结构

3. 防范措施

• 对用户的输入输出进行 过滤/编码
• 在请求头中添加httpOnly，防止通过js获取Cookie
  

二、CSRF攻击

1. 原理

利用网站对用户的信任，黑客通过网站B 诱导用户去访问已经登录的网站A，进行一些违背用户意愿的请求。

注意：在这个攻击过程中，攻击者借助受害者的 Cookie 骗取服务器的信任，但并不能拿到 Cookie，也看不到 Cookie 的内容。

2. 防范措施

• 使用验证码验证用户信息
• Cookie的sameSite属性，该属性设置 Cookie 不随着跨域请求发送
• 添加token验证

可以在 HTTP 请求中以参数的形式加入一个随机产生的 token，并在服务器端建立一个拦截器来验证这个 token，如果请求中没有 token 或者 token 内容不正确，则认为可能是 CSRF 攻击而拒绝该请求。

• 验证 页面请求来源 referer，只接受本站请求，服务器才响应
  

本次分享就到这里啦，感谢观看~