前端安全类——CSRF/XSS

CSRF

概念：跨站请求伪造

全称：Cross-site request forgery

攻击原理：网站中某一个接口存在漏洞，用户在注册网站登录过

防御措施：

1.Token验证：引诱链接只会自动携带cookie，不会自动携带token

2.Refer验证：refer指页面来源

3.隐藏令牌

XSS

概念：跨域脚本攻击

全称：cross-site scripting

攻击原理：不需要做任何的登录验证，向页面注入脚本

防御措施：让插入的JS不可执行

对比

CSRF：利用本身的漏洞去自动执行接口，依赖于用户登录网站

XSS：向页面注入JS（比如留言评论区）