xss和csrf的区别
xss和csrf
xss跨站脚本攻击,指攻击者在网页上注入恶意的客户端代码,通过恶意脚本对客户端网页进行篡改,从而在用户浏览网页时, 对客户端浏览器进行控制或获取用户隐私数据的方式
防范:httpOnly防止截取cookie、用户输入检查、用户输出检查、利用CSP(浏览器的内容安全策略)
csrf跨站请求伪造,劫持受信任用户向服务器发送非预期请求的方式。
防范:验证码、referer check、增加token验证
前端菜鸟一枚,如有错误之处,烦请指出,与大家共同进步!