xss攻击:
Cross Site Scripting:跨站脚本
(不用CSS,是因为CSS已经代表了样式。而X有未知和扩展的含义。)
通过document.cookie获取用户的cookie,解决方案:重要的cookie要HttpOnly请求(cookie随着请求自动发送)才可以获取。通过document.cookie代码,无法获取到HttpOnly的cookie。(下图中,Secure打√,表示该cookie只在https请求下生效)。
XSRF攻击:
又名:CSRF
Cross-Site Request Forgery
跨站请求伪造
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。
CSRF实现流程如下:
解决方案:2步验证:人脸验证+手机验证码验证
CSRF怎么防御?
- referer
- cookie hashing
- token
- 二次验证
- WAF
