CSRF/XSS
CSRF:通常称为跨站请求伪造,英文名为 Cross-site request forgery
CSRF:攻击原理 (必须登录过某个网站,并且这个网站有漏洞)
防御措施:
1,加token 验证
2,Referer 验证 (站点下的页面,是:放行,不是:拦截)
3,隐藏令牌 (会隐藏head中)
XSS :跨域脚本攻击,英文:cross-site scripting
攻击原理:向页面注入js,并执行
防御措施:让注入的js不能执行。
区别:
xss 是向页面注入js 并运行
CSRF:依赖于用户登录
好浅的表诉,还没有深入理解,劳烦大家提供一些自己的见解,咯咯。