XSS和CSRF攻击

一、CSRF

CSRF防御分为服务端防御和客户端防御。

服务端CSRF防御:思想是在客户端页面中 增加为随机数(确保每一次都不一样,且随机就行)

(1)Cookie Hashing(所有表单包含一个伪随机值),以inout hidden域中存放Hash值,然后再后端验证。需要注意的是不能滥用get请求,get请求必须确保幂等。

(2)提交请求加验证码

二、XSS

 

posted @ 2016-06-12 15:52  mxgboy  阅读(166)  评论(0编辑  收藏  举报