xss和csrf

xss 跨站的脚本攻击

定义：攻击者向网页恶意注入脚本，当用户访问时，脚本在用户浏览器中执行 ，目的：窃取用户cookie等隐私信息

三类 1.存储型 在服务器端数据库中传入恶意脚本 2.反射型 url中带有恶意脚本 3.dom型 操作页面dom元素

防范措施： 1限制用户输入的特殊字符 2 cookie保护 设置httponly属性 禁止js访问cookie

csrf 跨站的请求伪造

定义：攻击者引诱用户在被攻击网站已登录的状态下，点击第三方网站，窃取用户在被攻击网站的登录信息，向目标网站发起伪造请求

防范措施：1使用csrf token 2 设置cookie 的 samesite为strict 限制跨站请求