web安全防范

XSS攻击

Cross Site Script,跨站脚本攻击。是指攻击者在网站上注入恶意客户端代码，通过恶意脚本对客户端网页进行篡改，从而在用户浏览网页时，对用户浏览器进行控制或者获取用户隐私数据的一种攻击方式。

1. 反射型xss：用户点击恶意链接，提交表单或进入恶意网站时，注入脚本进入被攻击者的网站，获取cookie、session、token或其他敏感信息；
   防范：对URL的查询参数进行转译；
2. DOM型xss：攻击者构造出特殊的数据，其中包含恶意代码；
   防范：对用户输入的内容进行转译；
3. 存储型xss：恶意脚本永久性的存储在目标服务器上，当浏览器请求数据的时候，脚本从服务器传回并执行，主要出现在论坛、发帖、商品评论等；
   防范：前端数据传递给后端时转译或过滤；服务器接收到数据后转译或过滤；客户端收到服务器的数据，在展示页面前进行转译或者过滤；

XSRF/CSRF

跨站点请求伪造（也称为XSRF或CSRF（Cross-site request forgery））。
它与XSS非常不同，XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。

1、XSRF攻击方式举例：

1. 你已经登录过一个购物网站，正在浏览商品
2. 该网站的付费接口是 xxx.com/pay?id=100 但是付费时没有任何验证（当然这只是假设，现在很多电商网站验证性都做得比较安全了）
3. 然后你收到了一封邮件，邮件有一个图片你点击了，图片地址隐藏为< img src=“xxx.com/pay?id=100” />
4. 当你点开邮件图片的时候，就已经悄悄付款购买了，这时攻击者也拿到了你的数据了。

2、XSRF防范

1. 不要相信不知来源的外链，当你点击了网站A的时候不要乱点击其他外链来跳转到网页A。
2. 网站上增加验证流程（如输入指纹，密码，短信验证）
3. token验证、referer验证、隐藏令牌（百度学习下）