xss和csrf

巴巴_羊2025-06-21 22:42

xss 跨站的脚本攻击

定义:攻击者向网页恶意注入脚本,当用户访问时,脚本在用户浏览器中执行 ,目的:窃取用户cookie等隐私信息

三类 1.存储型 在服务器端数据库中传入恶意脚本 2.反射型 url中带有恶意脚本 3.dom型 操作页面dom元素

防范措施: 1限制用户输入的特殊字符 2 cookie保护 设置httponly属性 禁止js访问cookie

csrf 跨站的请求伪造

定义:攻击者引诱用户在被攻击网站已登录的状态下,点击第三方网站,窃取用户在被攻击网站的登录信息,向目标网站发起伪造请求

防范措施:1使用csrf token 2 设置cookie 的 samesite为strict 限制跨站请求

相关推荐
伯远医学16 小时前
Nat. Methods | 邻近标记技术:活细胞中捕捉分子互作的新利器
java·开发语言·前端·javascript·人工智能·算法·eclipse
莪_幻尘16 小时前
一份 AGENTS.md,让 AI 代码规范率从 60% 飙升到 95%
前端·ai编程·cursor
秋秋202317 小时前
🐴 给 AI 套缰绳:一个前端项目的 AI Harness 实战记录
前端
卷帘依旧17 小时前
React Fiber介绍
前端
研☆香17 小时前
es6的新特性介绍
前端·ecmascript·es6
peepeeman17 小时前
vue组件透传
前端·javascript·vue.js
镜宇秋霖丶17 小时前
2026.5.12@霖宇博客制作中遇见的问题
前端·vue.js·elementui
醉逍遥neo18 小时前
mac新电脑-前端开发配置
前端·macos·ghostty
白嫖叫上我18 小时前
Vue3封装主题色完善版
前端
a11177618 小时前
细胞结构实验室(react 开源)
前端·javascript·开源·html
热门推荐
01GitHub 镜像站点02Codex 接入 DeepSeek API 完整配置文档03CC-Switch & Claude 基于 Linux 服务器安装使用指南04【AI】2026 年具身智能模型和世界模型总结05零基础教你claude code 接入 deepseek V406AI科技热点日报 | 2026年5月11日07人工智能最新动态 AI 日报 · 2026年5月10日08codex app每次打开重连5次Reconnecting问题解决09Gemini大升级、AI眼镜首发、Android XR亮相,13天后见分晓10Cursor 接入 DeepSeek‑V4‑Pro 完整指南(2026 实测)