XSS、SQL与CSRF

XSS(Cross-Site Scripting，跨站点脚本攻击)，SQL注入，CSRF(Cross-Site Request Forgery，跨站点请求伪造)

三者都是网站攻击的手段。

原理

XSS通过代码注入的方式攻击
CSRF通过利用网站本身的漏洞，请求网站的API

攻击对象

XSS攻击服务器
CSRF通过用户发起攻击

是否必须需要cookie

XSS不需要
CSRF必须获取到cookie才能进行

解决手段

输入过滤（转义等），永远不要相信用户的输入
输出编码，将用户输入数据输出到页面时，先进行编码，将所有文字都当成普通文字而非html代码
cookie中避免存放隐私。cookie中可加入token比对，也可将cookie与ip绑定
关键操作加验证码
使用Header传递token，攻击者无法获取到token

Edit this page on GitHub

Performance前端优化实践

TypescriptTS中的this伪参数

评论加载中 (ง •̀ω•́)ง

Table of Contents

原理
攻击对象
是否必须需要cookie
解决手段