YII2的安全篇

1. XSS攻击

主要是注入javascript脚本，然后执行。

1. xss盗取用户账号

原理：

1）获取用户的登陆cookie
2）利用用户的登陆cookie登陆

防范：系统在返回的cookie加了 httponly， 使得Document.cookie无法获取到cookie

2. 非法转账

原理：

1）链接加入script
2）自动填充转账表单，提交

3. 蠕虫

3.

2. CSRF攻击

3. SQL注入

4. 文件上传漏洞