关于前端:前端面试XSSCSRF

41次阅读

共计 213 个字符,预计需要花费 1 分钟才能阅读完成。

XSS

跨站脚本攻打:黑客通过 html 注入,篡改网页,插入歹意脚本。
反射型 XSS:用户输出的数据,反射给浏览器。非持久性。
存储型 XSS:用户输出的数据存储在服务器端。稳定性。
举例:歹意 js 代码博客
DOM:通过过批改 DOM 节点

XSS 进攻

对 cookie 做爱护,设置 httpOnly
输出查看,称为 XSS filter
输入查看,输入到 html 页面时
特殊字符转换

CSRF

跨站申请伪造:利用用户身份操作用户账户

CSRF 进攻

验证码
随机 token

正文完
 0