1. XSS 跨站请求攻击
场景: 新浪博客写文章,同时偷偷插入一段<script>脚本
攻击代码中,获取cookie,发送至自己的服务器
发布博客,有人查看博客内容
会把查看者的cookie发送到攻击装的服务器
预防: 1.前端替换关键字 < 为 < > 为 >
2.后端替换
2.XSRF 跨站请求伪造
场景: 你已登录一个购物网站,正在浏览商品,
付费接口是xxx.com/pay?id=100,没有任何验证
然后你收到一封邮件,隐藏着<img src=xxx.com/pay?id=100>
你查看邮件的时候,就已经悄悄付费购买了
预防: 增加验证流程,指纹验证码,
Token验证,,生成token存在cookie,每次验证
Referer验证,