http协议，安全笔记

http的Get与Post方式区别

• Get

• 通过URL提交明文数据，URL作为http头部文件的一部分发出，参数在发送头部可见
• 浏览器能够缓存提交数据，历史记录能够获取这些数据
• 长度有限制，根据browser不同，限制不同
• 主要是向服务器发索取数据用于客户端展示的请求，一般不做提交对服务器的内容修改请求

• Post

• 将敏感的提交数据放在http包的包体中，保证安全不公开
• 在浏览器中不保存提交的数据
• 长度无限制
• 主要是用于提交增删改的请求，提交的敏感内容应该包含在http包中

CSRF（Cross-Site Request Forgery）跨站请求伪造与XSS(Cross Site Script)区别

• CSRF

• 恶意网站获取到cookie中的sessionID，欺骗用户发送http请求，再重新伪造可信用户身份到信任网站发出恶意请求
• 防范办法：使用post发送请求，提交信息使用必要的验证码，server从第一次会话后给用户返回的页面中的表单进行随机性信息植入

• XSS

• 利用合法用户登录ing状态下获取信息
• 基于js注入，将想要完成的动作，通过input域插入到原页面的html中，执行恶意js，因此叫跨站脚本注入攻击